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(54) Title: TRANSACTION METHOD USING A MOBILE DEVICE 
(54) Bezeichnung: TRANS AKTIONSVERFAHR EN MIT EINEM MOBILGERAT 
(57) Abstract 

The invention relates to a method of transaction between 
a customer and a terminal (2) which is connected to a 
telecommunication network, wherein at least one customer 
identification (IDUI), a terminal identification (POSID) and 
transaction specific data (A) are transmitted to a financial server 
(4) connected to a telecommunication network. The terminal 
ID is read in the terminal or detected in the terminal and 
transmitted to the financial server by the above-mentioned 
telecommunication network. The customer is provided with a 
SIM card (10) which can be functionally connected to a mobile 
device. The customer identification which is transmitted to the 
financial server is read in the SIM card memory and transmitted 
to the financial server. 

(57) Zusammenfassung 

Das Transaku'onsverfahren zwischen einem Kunden und 
einem mil einem Telekommunikationsnetz verbundenen Ter- 
minal (2) umfasst die tibermittlung von mindestens einer 
Kundenidentifizierung (IDUI), einer Terminal-Identifizierung 
(POSID) und transaktionsspezifische Daten (A) an einen mit 
dem Telekommunikationsnetz verbundenen Finanzserver (4). 
Die Terminal-Identifizierung wird im Terminal gelesen Oder er- 
fasst und durch das genannte Telekomrmmikationsnetz an den 
Finanzserver tibermittelt. Der Kunde ist mit einer SIM-Karte 
(10) ausgertistet, die funktionell mit einem Mobilgerat verbun- 
den werden kann. Die Kundenidentifizierung, die an den Fi- 
nanzserver Obermittelt wird, wird im Speicher der SIM-Karte 
gelesen und Ober mindestens eine Luftschnittstelle an den Fi- 
nanzserver tbermittelt. 
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Transaktionsverfahren mit einem Mobilgerat 

Die vorliegende Erfindung betrifft ein Verfahren und ein System zur 
Obermittlung von AuftrSgen in einem Telekommunikationsnetz. Die Erfindung 
betrifft insbesondere, aber nicht ausschliesslich, die Obermittlung von AuftrS- 
5 gen in einem Mobilfunknetz. 

Gemass dem bisherigen Stand der Technik werden Transaktionen 
zwischen einem Kunden (Oder Client, C) und einem Terminal, hier Point-of- 
Transaktion (POT) genannt, zum Beispiel einem Point-of-Sale (POS), oft mit 
einer elektronischen Zahlungskarte ausgefuhrt. Debit- und Kreditkarten werden 

10 zum Beispiel an Kassen in Geschaften, bei Tankstellen, usw. verwendet. Die 
Karte umfasst meistens Speichermittel, zum Beispiel einen Magnetstreifen 
und/oder ein Chip, in welchem unter anderem die Identifizierung des Kunden 
gespeichert ist Urn eine Transaktion mit dem Besitzer Oder Betreiber eines 
POT zu tatigen, zum Beispiel urn einen Artikel in einem GeschSft zu bezahlen. 

15 muss der Kunde seine Karte in einen geeigneten Kartenleser im POT-Gerat 
einschieben. Der POT liest dann die Identifizierung des Kunden in der Karte, 
ermittelt und zeigt den zu bezahlenden Betrag an, pruft gegebenenfalis die 
Solvenz des Kunden und fordert vom Kunden, dass er die Transaktion mit ei- 
ner Bestatigungstaste auf dem POT-Gerat bestatigt. Wenn der Kunde solvent 

20 ist und seine Bestatigung eingegeben hat, werden die Kundenidentifizierung, 
derzu bezahlende Betrag und evtl. auch eine POT- Identifizierung an einen 
durch ein Telekommunikationsnetz mit dem POT verbundenen Finanzserver 
Obermittelt, der von einem Finanzinstitut verwaltet wird. Entsprechend wird 
sofort oder spater das Konto des Kunden bei diesem Finanzinstitut belastet. 

25 Nachteilig in diesem Verfahren ist die Notwendigkeit, die Karte des 

Kunden in ein fremdes Gerat einschieben zu mussen. Die Kunden haben nor- 
malerweise ihre Karte nicht zur Hand, dafur zum Beispiel im Portemonnaie; 
eine sehr schnelle Transaktion ist also nicht mfiglich. Gelegentlich ist auch die 
Offnung zum Einfuhren der Karte in das Lesegerat des POT nicht leicht zu- 

30 ganglich; dies ist besonders dann der Fall, wenn der POT ein Ticketautomat for 
Parkhauser oder ein Zahlungsautomat ist, der vom Automobilisten ohne Aus- 
steigen aus dem Wagen bedient werden soil. Ausserdem konnen betrugerische 
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Handlungen Oder nicht berechtigte Lesungen von Speicherbereichen der Karte 
inn POT durchgefuhrt werden. 

Sogar wenn heutzutage gewisse Chipkarten einen Mikroprozessor 
enthalten, sind diese Debit- und Kreditkarten im Wesentlichen passive Ele- 

5 mente, die Daten speichern, die im Wesentlichen von der Elektronik des POT 
gespeichert und benutzt werden. Der Kunde dagegen hat normalerweise keine 
MOglichkeit, direkt auf die Daten Zugriff zu nehmen, ohne sich an einen Schal- 
ter oder an einen Automaten des betreffenden Finanzinstituts, das die Karte 
herausgibt, zu begeben. Fur den Kunden ist es also schwierig, die mit der 

10 Karte durchgefCihrten Transaktionen zu kontrollieren oder daruber Buch zu fuh- 
ren. 

Diese Karten enthalten eine Kundenidentifizierung, die es indes nur 
erlaubt, die Kunden beim herausgebenden Finanzinstitut identifizieren zu las- 
sen. Eine Karte kann also normalerweise nur fur eine finanzielle Transaktion 

15 benutzt werden, wenn der Kunde und der POT-Betreiber beim gleichen 
Finanzinstitut affiliert sind. Dagegen ist der Gebrauch der Karte fur andere 
Arten von Transaktionen - zum Beispiel fur nicht finanzielle Transaktionen, fur 
die aber die zuverlassige Identifizierung des Kunden/Kartenbesitzers benotigt 
wird - nicht vorgesehen. Fur den Kunden ist es also unumganglich, eine grosse 

20 Anzahl von Karten, fur jegliche Arten von finanziellen oder nicht finanziellen 
Transaktionen zu besitzen, zum Beispiel mehrere Debit- oder Kreditkarten, die 
von verschiedenen Finanzinstituten oder Ladenketten verwaltet werden, oder 
Abonnementskarten oder Zugangskarten fCir geschutzte Zonen. Diese Karten 
sind meistens durch verschiedene Pin-Codes geschutzt, die sich der Kunde 

25 muhsam einprSgen muss. 

Im Falle eines Diebstahles oder einer betrugerischen Handlung mit 
der Karte, muss diese gesperrt werden. Die Sperrung kann jedoch erst erfol- 
gen, wenn die Karte in ein entsprechendes Gerat eingefuhrt wird. Die gewohn- 
lichen Kreditkarten kOnnen jedoch weiterhin in manuell bedienten Apparaten 
30 gebraucht werden; eine sichere Sperrung der Karte ist also nicht moglich, 
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Ausser Debit- und Kreditkarten kennt man die sogenannten e-cash- 
Karten, welche es ermOglichen, GeldbetrSge elektronisch zu speichern, welche 
anschliessend an verschiedenen POT-Stellen ais Zahlungsmittel akzeptiert 
werden. Urn diese Karten erneut mit Geldbetragen versehen zu lassen, muss 
5 der Kunde am Schalter oder Automaton eines Finanzinstitutes vorstellig wer- 
den, was auch nicht immer moglich ist. 

Eine Aufgabe der vorliegenden Erfindung ist es, ein Verfahren oder 
System vorzuschlagen, das erlaubt, diese Probleme zu vermeiden. 

Eine weitere Aufgabe der vorliegenden Erfindung ist es, ein Trans- 
10 aktionsverfahren vorzuschlagen, das sowohl fur finanzielle ais auch fur nicht 
finanzielle Transaktionen geeignet ist, und das einfacher und zuverlassiger ist, 
ais die gewOhnlichen Transaktionsverfahren. 

GemSss der vorliegenden Erfindung werden diese Ziele insbeson- 
dere durch die Elemente des kennzeichnenden Teils der unabhangigen An- 
15 spruche erreicht Weitere vorteilhafte Ausfuhrungsformen gehen ausserdem 
aus den abhangigen Anspruchen und der Beschreibung hervor. 

Insbesondere werden diese Ziele durch ein Transaktionsverfahren 
zwischen einem Kunden und einem mit einem Telekommunikationsnetz ver- 
bundenen POT-Gerat (zum Beispiel ein Point-of-Sale, POS) erreicht, wobei 

20 das Verfahren die Obermittiung von mindestens einer Kundenidentifizierung, 
einer POT-ldentifizierung und transaktionspezifischen Daten an einen mit dem 
Telekommunikationsnetz verbundenen Server umfasst, wobei der Kunde mit 
einem Identifizierungselement ausgerustet ist, das funktionell mit einem Mobil- 
gerat kooperieren kann, zum Beispiel mit einer SIM-Karte in einem Mobilgerflt, 

25 wobei eine Kundenidentifizierung im Mobilsystem im Speicher des Identifizie- 
rungselements gespeichert ist, wobei die POT-ldentifizierung im Gerat gelesen 
oder erfasst wird und durch das Telekommunikationsnetz an den Server uber- 
mittelt und wobei die Kundenidentifizierung Qber mindestens eine Luftschnitt- 
stelle an den Server Dbermittelt wird. 
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Die Kundenidentifizierung wird vorzugsweise mit der im POT-Gerat 
gelesenen Oder erfassten POT-GerStidentifizierung und mit transaktionspezi- 
fischen Daten in einem elektronischen Transaktionsbeleg verknupft, der durch 
des genannte Telekommunikationsnetz und uber eine Clearingeinheit an den 
5 Server ubermittelt wird. 

Der Server kann vorzugsweise uber eine Luftschnittstelle, zum Bei- 
spiel durch ein Mobilfunknetz, mit dem Mobilsystem (zum Beispiel ein Mobilge- 
rSt mit einer Identifizierungskarte) kommunizieren. Wenn die Transaktion eine 
finanzielle Transaktion ist F kann dadurch ein im MobilgerSt gespeicherter Geld- 
10 betrag aus dem Server mit Qber die Luftschnittstelle ubermittelten elektroni- 
schen Meldungen nachgeladen werden. Der Geldbetrag wird vorzugsweise in 
einer StandardwShrung defmiert. 

Die kontaktlose Ubertragung zwischen dem Mobilsystem und dem 
POT-Gerat kann beispielsweise durch eine in der Identifizierungskarte Oder im 
15 MobiigerSt integrierte elektromagnetische Schnittstelle, zum Beispiel in Form 
einer induktiven Spule, oder durch ein infrarotes Sender-Empfanger-System 
erfolgen. 

Die Transaktionsbelege werden vorzugsweise mit einem symmetri- 
schen Algorithmus verschlusselt, bevor sie an den Server weitergeleitet wer- 

20 den, wobei der symmetrische Algorithmus einen mit einem asymmetrischen 
Algorithmus verschlusselten Session-Schlussel benutzt. Die Transaktionsbe- 
lege werden vorzugsweise ausserdem zusatzlich zertifiziert, bevor sie an den 
Finanzserver weitergeleitet werden. Vorzugsweise wird eine end-to-end-gesi- 
cherte Ubertragungsstrecke zwischen dem Mobilsystem und dem Finanzserver 

25 gewahrleistet. 

Die vorliegende Erfindung wird mit Hilfe der als Beispiel gegebenen 
Beschreibung besser verstandlich und durch die beiliegenden Figuren veran- 
schaulicht : 

Die Figur 1 zeigt ein Blockschema, das den Informationsfluss in ei- 
30 ner ersten Ausfuhrungsform des Systems der Erfindung zeigt, wobei der Kunde 
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mit einem Mobilfunktelefon ausgerOstet ist, vorzugsweise ein GSM-Mobilgerfit, 
das spezielle Kurzmeldungen empfangen und senden kann. 

Die Figur 2 zeigt ein Blockschema, das den Informationsfluss in ei- 
ner zweiten Ausfuhrungsform des Systems der Erfindung zeigt, wobei der 
5 Kunde mit einem Mobilfunktelefon ausgerustet ist, vorzugsweise ein GSM- 
MobilgerSt, das spezielle Kurzmeldungen empfangen und senden kann, und 
wobei das POT-Gerat ein Internet- oder Intranet-taugliches Gerat ist. 

Die Figur 3 zeigt ein Blockschema, das den Informationsfluss in ei- 
ner dritten Ausfuhrungsform des Systems der Erfindung zeigt, wobei der Kunde 
10 mit einem Transponder ausgerustet ist, der mindestens spezielle Kurzmeldun- 
gen bearbeiten kann, und wobei das POT-GerSt spezielle Kurzmeldungen, zum 
Beispie! SMS- oder USSD-Kurzmeldungen, empfangen und/oder senden kann. 

Die Figur 4 zeigt ein Blockschema, das den Informationsfluss in ei- 
ner vierten Ausfuhrungsform des Systems der Erfindung zeigt, wobei der 
15 Kunde mit einem Transponder ausgerustet ist, der mindestens einen Teil der 
SICAP-Prozeduren ausfuhren kann, und wobei das POT-Gerat ein Internet- 
oder Intranet-taugliches Gerat ist, das spezielle Kurzmeldungen, zum Beispiel 
SMS- oder USSD-Kurzmeldungen, empfangen und/oder senden kann. 

Die Figur 5 zeigt ein Flussdiagramm eines Zahlungstransaktions- 
20 verfahrens gemSss der Erfindung. 

Die Figur 6 zeigt ein Flussdiagramm eines Nachiadetransaktions- 
verfahrens einer SIM-Karte, gemSss der Erfindung. 

Die Figur 7 zeigt ein Blockschema, das den Informationsfluss in ei- 
ner funften Ausfuhrungsform des Systems der Erfindung zeigt. 

25 Die Figur 8 zeigt ein Blockschema, das den Informationsfluss in ei- 

ner sechsten Ausfuhrungsform des Systems der Erfindung zeigt. 



WO 98/37524 



6 



PCT/CH98/00086 



Die Figur 9 zeigt ein Blockschema, das den Informationsfluss in ei- 
ner siebten AusfOhrungsform des Systems der Erfindung zeigt. 

Die Figur 1 0 zeigt ein Blockschema, das die Signierung von Mel- 
dungen erklflrt. 

5 Die Figur 1 1 zeigt ein Blockschema, das die Uberprufung der 

Signatur erklSrt. 

Die Figur 12 zeigt ein Blockschema, das die Signierung und die 
□berprufung der Signatur erkiart. 

Die Figur 13 zeigt ein Blockschema, das die Verschlusselung der 
10 Meldungen erkiart. 

Das auf den Figuren 5 und 6 dargestellte Verfahren kann mit jedem 
beliebigen System, das auf den Figuren 1 bis 4 dargestellt ist, ausgefuhrt wer- 
den. Die erste und die zweite Variante benetigen beide ein Mobilgerat oder 
eine SIM-Karte mit einer zusatzlichen infraroten oder induktiven Schnittstelle, 
15 die spater nSher beschrieben wird. 

Die Figur 1 zeigt den Informationsfluss in einer ersten AusfQhrungs- 
form der Erfindung. Der Kunde ist mit einem Mobilsystem ausgerustet, in die- 
sem Fall mit einem GSM-Mobilgerat 1. Das Mobilgerat 1 enthfilt eine Identifi- 
zierungskarte 10, zum Beispiel eine SIM-Karte, mit der der Kunde im Netz 6, 

20 vorzugsweise ein GSM-Netz, identifiziert wird. Die SIM-Karte weist einen kon- 
ventionellen Mikrokontroller 100 auf, welcher in den KunststofftrSger der Karte 
eingelassen ist und fur die GSM-FunktionalitSten der Karte zustSndig ist - wie 
sie zum Beispiel im Artikel « SIM CARDS » von T. Grigorova und I. Leung be- 
schrieben werden, welcher im « Telecommunication Journal of Australia », Vol 

25 43, No. 2, 1993, auf den Seiten 33 bis 38 erschienen ist - und fur neue Funk- 
tionalitaten, welche zu einem spateren Zeitpunkt auf die SIM-Karten geladen 
wer< jea Die SIM-Karte weist ausserdem nicht dargestellte Kontaktmittel auf, 
uber welche die Karte mit dem Mobilgerat 1 kommuniziert, in welchem sie ein- 
gefuhrt ist. 
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Die SIM-Karte weist ausserdem einen zweiten Prozessor 101 (CCI, 
Contactfree Chipcard Interface) auf, welcher fur die kontaktlose Verbindung mit 
dem POT-Ger£t 2 zustandig ist. Der zweite Prozessor fOhrt unter anderem die 
weiter unten beschriebenen TTP (Thrusted Third Party)-Funktionen aus, um 
5 chiffrierte und signierte Meldungen zu empfangen und zu senden. Eine logi- 
sche Schnittstelle 102 verbindet die beiden Prozessoren 101 und 102. 

Die kontaktlose Schnittstelle mit dem POT-Gerat 2 kann beispiels- 
weise mindestens eine in der SIM-Karte integrierte und mit dem zweiten Pro- 
zessor 1 01 verbundene Spule aufweisen (nicht dargestellt), mit der Daten in 

10 beiden Richtungen uber eine Funkstrecke induktiv ubertragen werden. Eine 
induktive Spule kann in einer Variante auch im GehSuse des Mobilger&ts inte- 
griert werden. In einer dritten Variante umfasst die kontaktlose Schnittstelle 
einen infraroten Sender-Empfflnger an die GehSuse des MobilgerSts. Die kon- 
taktlose Kommunikation zwischen den beiden GerSten wird vorzugsweise ver- 

15 schlusselt, zum Beispiel mit einem DEA-, DES-, TDES-, RSA- oder ECC- 
Sicherheitsalgorithmus. 

Bei einer induktiven Signalubermittlung vom POT zur Chipkarte wird 
vorzugsweise ein Phasenmodulations-Verfahren eingesetzt, wahrend in der 
umgekehrten Richtung vorzugsweise die Amplitude der Signale moduliert wird. 

20 Die SIM-Karte enthSIt vorzugsweise ein Sonderfeld IDUl 

(International Debit User Identification), mit dem der Kunde vom POT-Betreiber 
und/oder von einem Finanzinstitut identifiziert wird. Die Identifizierung IDUl 
wird vorzugsweise in einem gesicherten Speicherbereich eines der beiden 
Prozessoren 101, 102 gespeichert. Die IDUl enthait mindestens eine Identifi- 

25 zierung vom Netzbetreiber, eine Benutzernummer, die ihn von anderen Kunden 
beim selben Netzbetreiber identifiziert, eine Benutzerklassenangabe, die defi- 
niert, welche Dienste er benutzen darf, und optional noch eine Landidentifizie- 
rung. Ausserdem enthait die IDUl Sicherheitsdaten, unter anderem einen 
Transaktionszflhler Tz, ein Lade-Token LT C , und ein Time-Out-Feld TO, das 

30 die Validierungszeit angibt. Die Funktion von diesen verschiedenen Daten wird 
spdter ertautert, 
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Das symbolisch clargestellte POT-Gerat 2 ist ebenfalis mit einem 
kontaktlosen Sender-Empfanger 20 versehen, zum Beispiel mit einer indukti- 
ven Spule Oder mit einem infraroten Sender-Empfanger. Dank dieser Schnitt- 
stelle kann das Mobilsystem 1,10 kontaktlos mit dem GerSt2 in beiden Rich- 
5 tungen kommunizieren. 

Das Terminal oder POT-Gerat 2 kann zum Beispiel ein speziell mit 
einer Funkschnittstelle 20 ausgerusteter Point-of-Sale (POS) in einem Ge- 
schaft sein. Das POT-Gerat 2 kann aber auch fur nicht finanzielle Anwendun- 
gen bestimmt sein, zum Beispiel als Schlussel fur eine Zutrittskontrolle-Vor- 

10 richtung (« elektronischer Pfortner »), die das Kommen und Gehen in einer ge- 
schCitzten Ortlichkeit erlaubt, zum Beispiel in einem Hotelzimmer, in einem Be- 
trieb, im Theater, in Kinos oder innerhalb eines Attraktionsparkes. Das POT- 
Gerflt wird mit einem Sonderfeld POSID (Point Of Sale Identification) identifi- 
ziert. Die POSID hangt von der Anwendung ab ; im Falle einer Geschaftskasse 

15 enthait sie eine Identifizierung vom Netzbetreiber, eine Areaidentifizierung 
(Teilgebiet in einem Land), eine POS-Nummer t die ihn von anderen POS beim 
selben Netzbetreiber identifiziert, eine POS-Klassenangabe, die definiert, wel- 
che Dienste er benutzen oder anbieten darf, das Datum, die Zeit, die benutzte 
WShrung (SDR ( Euro oder Dollars) und optional noch eine Landesidentifizie- 

20 rung. 

Das POT-Gerat 2 wird vorzugsweise mit nicht dargestellten Daten- 
eingabe-Mitteln versehen, zum Beispiel mit einer Tastatur, und mit nicht darge- 
stellten Datenanzeige-Mitteln, zum Beispiel mit einem Bildschirm. 

Die IDUI-ldentifizierung wird dem POT uber die kontaktlose Schnitt- 
25 stelle 10/101 ubertragen, und im POT-Gerat mit der POSID und mit zusatzli- 
chen transaktionspezifischen Daten, zum Beispiel mit dem erfassten Debitbe- 
trag A, verknupft, so dass ein elektronischer Transaktionsbeleg entsteht, der 
mit einem TTP (Trusted Third Party)- oder PTP (Point-to-Point)-Prozess ver- 
schlusselt und signiert wird. Zusatzliche Erklarungen uber das TTP-Verfahren 
30 werden spater als Anhang angegeben. 

Der Transaktionsbeleg wird dann uber ein nicht dargestelltes 
Modem und durch das Kommunikationsnetz 5, zum Beispiel durch ein fiffentli- 
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ches Fix-Netz 5 Oder durch ein Mobilfunknetz an die ebenfalls mit dem Netz 
verbundene Clearingeinheit 3 Qbermittelt. Diese empfflngt die elektronischen 
Belege von verschiedenen POT-GerSten 2, unabhangig vom Land oder Ver- 
kehrsbereich, und unabhangig vom Land oder Finanzinstitut des Kunden. In 

5 der Clearingeinheit 3 werden diese Transaktionsbelege nach Finanzinstitut, 
eventuell auch nach Operator, geordnet und den entsprechenden Finanzinsti- 
tuten zugestellt. Clearingeinheiten an sich sind in der GSM-Technik schon be- 
kannt und werden beispielsweise fur das Sammeln und fur die Weiterverteilung 
von Verbindungskosten verwendet. Die Clearingeinheit kann beispielsweise 

10 eine Datenbank enthalten, die angibt, mit welchem Finanzinstitut der vorher mit 
seinem IDUI identifizierte Kunden affiliert ist. 

Die durch die Clearingeinheit 3 behandelten elektronischen Trans- 
aktionsbelege werden an den Finanzserver 4, 4' oder 4" des entsprechenden 
Finanzinstituts weitergeleitet Im Finanzserver werden die eingereichten 

15 Transaktionsbelege zuerst entschlusselt und in einem Zwischenspeicher 43 
gespeichert. Ein Abgleichmanagement-Modul 42 schreibt dann den vom Kun- 
den signierten Betrag den entsprechenden Bankkonten 420, 420' und/oder 
420" des POT-Betreibers gut. Diese Konten konnen durch dasselbe oder durch 
ein anderes Finanzinstitut verwaltet werden. Das Abgleichmanagement-Modul 

20 fuhrt ausserdem Kontrollbuchungen zum Konto des Kunden durch. Entspre- 
chend wird das Konto 41 des Kunden beim Finanzinstitut belastet, oder werden 
die Transaktionsdaten fur eine spStere Kontrolle gespeichert. Der Finanzserver 
enthalt ausserdem einen TTP-Server 40, um Belege und Meldungen mit dem 
TTP (Thrusted Third Party)-Algorithmus zu chiffrieren und zu signieren. 

25 Ausserdem ist jeder Finanzserver 4 mit einem SIM-Server 70 verbunden, zum 
Beispiel mit einem SICAP-Server. Das SICAP-Verfahren wurde unter anderem 
im Patent EP689368 beschrieben, und erlaubt, Dateien, Programme und auch 
Geldbetrage zwischen dem SICAP-Server 70 und der SIM-Karte 10 im Mobil- 
gerfit 1 Qber das 6ffentliche GSM-Netz 6 auszutauschen (Pfeil 60). Andere 

30 Obertragungsprotokolle konnen auch fur die DatenQbertragung zwischen dem 
SIM-Server und den SIM-Karten angewendet werden. Dadurch kann beispiels- 
weise Geld auf der SIM-Karte 10 nachgeladen werden, wie spater naher be- 
schrieben. Der SIM-Server 70 erm6glicht ausserdem die gesteuerte Kommuni- 
kation zwischen dem Kunden und dem TTP-Server 40 beim Finanzinstitut. 
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Die Figur 2 zeigt den Informationsfluss in einer zweiten Ausfuh- 
rungsform der Erfindung. Der Kunde ist ebenfalls in dieser Variante mit einem 
Mobilsystem ausgerustet, zum Beispiel mit einem GSM-Funktelefon 1 mit einer 
SIM-Karte, vorzugsweise mit einer SICAP-tauglichen SIM-Karte. Ebenfalls ist 
5 eine induktive Oder infrarote Schnittstelle im Mobilsystem 1 enthalten, mit der 
eine kontaktlose Verbindung mit dem POT-Gerat 2 durchgefuhrt warden kann. 
Daten und/oder Programme konnen auf diese Weise in beiden Richtungen 
zwischen dem POT-Gerat 2 und der SIM-Karte 10 im Mobilsystem ausge- 
tauscht werden. 

10 Das POT-Gerat 2' ist aber in diesem Fall ein Rechner, der vorzugs- 

weise mit einem Netz, zum Beispiel im Internet oder einem Intranet, verbunden 
ist. Verschiedene Informationen oder Angebote, zum Beispiel Produkt-Ange- 
bote, konnen beispielsweise mit einem geeigneten Menu auf dem Bildschirm 
des Rechners 2 offeriert werden. Der Kunde kann diesen Rechner mit seinem 

15 MobilgerSt steuern. Beispielsweise kann er die Position eines Cursors in einem 
Mend von zum Verkauf angebotenen Produkten oder Informationen durch Be- 
tatigen der Cursor-Verschiebetasten auf der Tastatur 1 1 seines Mobiltelefons 
steuern. Die Cursor-Verschiebeinstruktionen werden uber die kontaktlose 
Schnittstelle 101, 20 zum Rechner 2' gesendet. Der Benutzer betatigt eine 

20 Bestatigungstaste, zum Beispiel die Taste # auf seiner Tastatur, urn die aus- 
gewShlte MenCioption zu bestatigen, zum Beispiel urn ein Produkt zu bestellen. 

Die im Mobilsystem 1,10 gespeicherte Kundenidentifizierung wird mit 
der POT-Gerat-ldentifizierung und mit den der angewahlten Menuoption ent- 
sprechenden transaktionsspezifischen Daten in einem elektronischen Trans- 

25 aktionsbeleg verknOpft, TTP-oder PTP-verschlQsselt und signiert. Der Trans- 
aktionsbeleg enthait vorzugsweise eine aus der SIM-Karte 10 gewonnene 
Kundenidentifizierung 1DUI, eine der angewahlten MenQoption entsprechende 
Lieferantenidentifizierung, und eine der angewahlten Menuoption entspre- 
chende Produktidentifizierung, vorzugsweise im Flexmart-Format wie in der 

30 Patentanmeldung PCT/CH96/00464 vorgeschlagen. Dieser Beleg wird durch 
ein Flexmart-Modul 21 ermittelt. Das Flexmart-Modul ist vorzugsweise eine vom 
Rechner 2 1 ausgefuhrte Software- Anwendung. 
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Analog zur ersten Ausfuhrungsform wird dann der elektronische 
Transaktionsbeleg an den entsprechenden Finanzserver 4, 4' oder 4" durch die 
Clearingeinheit 3 Qbermittelt und dort verarbeitet. 

Die Figur 3 zeigt den Informationsfluss in einer dritten Ausfuhrungs- 
5 form der Erfindung. Der Kunde ist in dieser Variante nicht mit einem kompletten 
MobilgerSt ausgerustet, sondern nur mit einem Transponder 10\ der zum Bei- 
spiel in einer Chipkarte oder in irgendeinem GerSt, wie beispielsweise einer 
Uhr, einem Schlusselring oder einem Fingerring, integriert werden kann. Der 
Transponder konnte auch in einer Fernsteuerung, zum Beispiel in einer infra- 
10 roten Fernsteuerung, integriert sein und durch diese Fernsteuerung mit dem 
POT-Gerat 2 kommunizieren. Der Transponder 10' enthalt einen ersten Pro- 
zessor 100\ mit dem spezieile Kurzmeldungen, zum Beispiel SMS- oder 
USSD-Kurzmeldungen, gesendet, empfangen und verschlusselt werden k6n- 
nen. In einer bevorzugten Variante enthalt der erste Prozessor 100' SICAP 
15 und/oderTTP-Module. mit dem Dateien und Programme durch SMS- oder 
USSD-Kurzmeldungen mit einem Server 7 ausgetauscht werden kOnnen. Der 
erste Prozessor 100' enthalt aber keine Mobilfunk-Funktionen und der Trans- 
ponder kann daher nicht als SIM-Karte in einem MobilfunkgerSt angewendet 
werden. 

20 Ein zweiter Chip 101 (CCl, Contactfree Chipcard Interface) ist mit 

dem Chip 100 J durch eine Schnittstelle 102 verbunden und ist fur die kontakt- 
lose Verbindung mit dem GerSt 2 zustfindig. Es ist naturlich auch mflglich, ei- 
nen einzigen Chip zu benutzen, der beide Teilfunktionen erfullt. Die kontakt- 
lose Verbindung erfolgt in diesem Fall vorzugsweise mit mindestens einer 

25 induktiven Spule im Transponder 10\ 

Das POT-Gerat 2" umfasst in diesem Fall einen Sender-EmpfSnger 
20, urn kontaktlos mit dem Transponder 10' zu kommunizieren, Datenverarbei- 
tungsmittel 23 mit einer Tastatur 1 1 und einem MobilfunkgerSt 24, vorzugs- 
weise ein reduziertes GSM-Gerat, das nur spezieile Kurzmeldungen, wie zum 
30 Beispiel SMS- oder USSD-Kurzmeldungen, empfangen und senden kann. Die 
Tastatur dient als Eingabemittel fur den Kunden. 
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Das im POT-Gerat integrierte und auf die Obertragung von Kurzmel- 
dungen reduzierte GSM-Gerat 24 ermfiglicht die Obermittlung von Meldungen 
durch das Mobilfunknetz 6 zwischen dem Transponder 10' und einer ersten 
Anwendung im SIM-Server 7, und dadurch den verschlusselten Nachlade- bzw. 
5 Checkup-Prozess (Pfeil 60) und den Belegetransfer (Pfeil 61 ) vom Kunden zu 
einer SIM-Server-Anwendung 71 im SIM-Server 7, beispielsweise in einem 
SICAP-Server. In einer Variante konnen der verschlCisselte Nachlade- bzw. 
Checkup-Prozess und der Belegtransfer auch uber ein Modem Oder einen 
ISDN-Anschluss 22 und ein Fixnetz 5 erfolgen. 

10 Die Meldungen und Belege werden dann fiber die kontaktlose 

Schnittstelle 101/20 und uber die Mobilfunkstrecke 60, 61 durch das Mobil- 
funknetz 6 ubertragen. 

Die Figur 4 zeigt den Informationsfluss in einer vierten Ausfiih- 
rungsform der Erfindung. Der Kunde ist, wie in der dritten Variante, nicht mit 

1 5 einem kompletten Mobilgerat ausgerQstet, sondern nur mit einem Transponder 
1 0'. Das POT-Gerat 2"' ist, wie bei der zweiten Ausfuhrungsform, mit Daten- 
verarbeitungsmitteln 2' verbunden, die uber ein Flexmart-Modul 21 verfugen. 
Der Kunde kommuniziert mit dem SIM-Server 7 durch ein eingeschranktes 
Mobilfunkgerat 24, zum Beispiel ein auf die Obertragung von speziellen SMS- 

20 oder USSD-Kurzmeldungen reduziertes GSM-Gerat 24 im Gerat 2'". Die ande- 
ren Funktionen sind analog wie in der dritten Ausfuhrungsform. 

Mit dem Flexmartmodul 21 kdnnen Auftragsmeldungen in einem 
standardisierten Format for einen Produkt- oder Informations-Lieferanten vor- 
bereitet werden, wie in der Patentanmeldung PCT/CH96/00464 beschrieben. 

25 Ein Zahlungstransaktionsverfahren wird jetzt mit Hilfe der Figur 5 

naher beschrieben. Dieses Verfahren kann auf beliebige Ausfuhrungsformen 
der Erfindung gemass den Figuren 1 bis 4 angesetzt werden. Dieser Abtauf ist 
jedoch allgemein gQltig und nicht auf GSM-Prozesse beschrankt. 

Die erste Kolonne in Figur 5 zeigt die Verfahrensschritte, die haupt- 
30 sachlich das Mobilsystem 1 des Kunden involvieren ; die zweite beschreibt die 
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Verfahrensschritte, die vom POT-Gerfit 2 ausgefdhrt warden ; die dritte betrifft 
die Operationen vom Finanzserver 4 und die vierte die Effekte auf die ver- 
schiedenen Konten beim Finanzinstitut, Es muss aber bemerkt werden, dass 
viele Verfahrensschritte entweder mit dem Mobilsystem 1, zum Beispiel als 
5 Prozess innerhalb der SIM-Karte 10, Oder im POT-Gerat 2 ausgefuhrt werden 
konnen. Zum Beispiel kann die Dateneingabe entweder mit dem POT oder mit 
dem Mobilsystem 1 erfolgen, wenn dieses eine Tastatur enthSIt, wie zum Bei- 
spiel ein GSM-Mobilgerdt. 

Dj eses Verfahren setzt im Schritt 200 voraus, dass die Identifizie- 
10 rungskarte 1 0 des Kunden, hier eine Wertkarte, mit einem Geldbetrag (e-cash) 
geladen ist. Wertkarten sind an sich schon bekannt ; wir werden spater in 
Bezug auf Figur 6 nSher erlSutern, wie der Geldbetrag nachgeladen werden 
kann. Ausserdem beschreibt die Patentanmeldung EP9681 0570.0 ein Verfah- 
ren, um SIM-Karten mit einem Geldbetrag nachzuiaden. 

15 Das Mobilsystem 1 bzw. 10 wird im Schritt 201 funktionsbereit ge- 

schaltet, zum Beispiel mit dem Einschalten des Mobilgerates. Ebenso wird im 
Schritt 202 das POT-Gerat 2 aktiviert. Das POT-Gerat 2 ruft dann im Schritt 
203 in einem Broadcastverfahren den nachsten, unbestimmten Kunden auf 
(Kartenpaging). 

20 Wenn die Verbindung zwischen dem POT-Gerat und dem Mobil- 

system 1, 10 hergestellt worden ist, Qbergibt im Schritt 204 das Mobilsystem 
dem POT-Gerat seine Identifizierung IDUI (International Debit User 
Identification) und die Bestatigung, dass er solvent ist. Ob die Solvenz aus- 
reicht, kann in diesem Moment noch nicht entschieden werden. 

25 Das POT-Gerat 2 enthait eine vorzugsweise vom Finanzserver 4 

periodisch aktualisierte Schwarzliste uber zu sperrende Kunden. Die vom Kun- 
den ubermittelte IDUI wird mit der Schwarzliste verglichen (Schritt 205). Wenn 
die vom Kunden ubergebene IDUI in der Schwarzliste gefunden wird (Schritt 
206), wird ein Blockierflag im Schritt 207 gesetzt. Wenn keine Ubereinstim- 

30 mung gefunden wird, konnen auf der Tastatur 1 1 des POT-GerSts 2 die trans- 
aktionspezifischen Daten, zum Beispiel ein zu bezahlender Debit-Betrag A, 
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e j n gegeben werden. In einer Variante kann der Betrag A auch auf der Tastatur 
des MobilgerSts 1 eingegeben werden. Das POT-GerSt 2, oder in einer Vari- 
ante die SIM-Karte 10, verknupft dann diese transaktionspezifischen Daten mit 
der Identifizierung des POT-GerSts 2 und der IDUI, und sendet diese Bela- 
5 stungsaufforderung dem Kunden. Vorzugsweise wird ausserdem noch eine 
ReferenzwShrung, wie zum Beispiel SDR, Euro oder Dollar eingeschlossea 

Da die Kommunikation signiert wird, kann im Schritt 210 gepruft 
werden, ob die Belastungsaufforderung mit der IDUI korreliert. Wenn nicht, 
wird der Ruckweisungsgrund am POT-GerSt 2 angezeigt (Schritt 223). Sonst 

10 wird im Schritt 21 1 ein Blockierflag gepruft. 1st es gesetzt, erfolgt ein Check-up 
mit dem Finanzserver 4 (Schritt 248). 1st er nicht gesetzt, erfolgt ein Area- 
Check-up (Schritt 213). Es kdnnen dadurch SIM-Karten je nach Benutzungs- 
Area gesperrt werden. Wenn der Area Check-up negativ ist, erfolgt ein Check- 
up mit dem Finanzserver 4 (Schritt 248) ; sonst wird ein Time-Out Check-up 

15 gemacht (Schritt 215). Es wird gepruft, ob die Vaiidationszeit, wdhrend der 
Transaktionen ohne Checkup durchgefuhrt werden k6nnen, schon abgelaufen 
ist. Ist die Vaiidationszeit abgelaufen (216), erfolgt ein Check-up mit dem 
Finanzserver (Schritt 248) ; sonst wird der Kunde im Schritt 217 aufgefordert, 
sein Benutzerpasswort am MobilgerSt 1 manuell einzugeben. Ist das eingege- 

20 bene Passwort korrekt (Schritt 21 8), wird der Betrag A gegebenenfalls in die 
EinheitswShrung (zum Beispiel SDR) umgerechnet (Schritt 219). Damit wird ein 
internationaler Einsatz des Konzepts ermfiglicht. Sonst wird im Schritt 223 auf 
dem POT-Gerat 2 die Ruckweisung mit Grundangabe angezeigt 

Das Mobilsystem 1/10 prCrft dann im Schritt 220, ob der zu bela- 
25 stende Betrag A mit dem auf der Karte geladenen Geldbetrag gedeckt ist 
(Solvenzprufung). Wenn dies nicht der Fall ist, wird am Bildschirm des P0T- 
GerSts dieser Ruckweisungsgrund angezeigt (Schritt 223). 

Wenn alle diese Prufungen erfolgt sind, wird im Schritt 222 die 
Transaktion mit einem Transaktionszahler Tz gezShlt, der inkrementiert wird. 
30 Dieser Zahler entspricht der Anzahl der mit der Karte 10 abgelaufenen Trans- 
aktionen. Im Schritt 224 werden dann der Debit-Betrag A, die POT-Gerat-lden- 
tifizierung POSID und die Benutzeridentifizierung IDUI in einem Transaktions- 
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beleg verknOpft, welcherzusatzlich zertifiziert und optional verschlusselt und 
eventuell noch komprimiert wird. Das ECC-Verfahren (Elliptic Curve 
Cryptosystem) kann beispielsweise fur die Zertifizierung angewendet werden. 
Ein geeignetes Zertifizierungs- und VerschlUsselungsverfahren wird spater als 
5 Beispiel naher erlautert. 

Der belastete Betrag A wird dann im Schritt 225 auf dem Karten- 
konto abgebucht, und der Transaktionsbeieg wird im Schritt 226 in einem Stack 
auf dem Identifizierungselement 1 0 abgelegt. Dieser Kartenstack beim Kunden 
kann nach Bedarf zwecks detaillierter Kontrolle vom Finanzserver abgerufen 
10 werden. Vorzugsweise kann der Kunde selber die im Stack gespeicherten 
Transaktionsbelege auf seinem Mobiigerat anzeigen. 

Nach dem Schritt 224 wird der Transaktionsbeieg dem POT-Gerat 2 
zur Abrechnung Cibergeben, und die Signatur wird vom POT-Gerat gepruft 
(Schritt 227). Optional wird im Schritt 228 ein Papierbeleg am POT fur den 
15 Kunden ausgedruckt. 

Im Schritt 229 wird dann im POT-Gerat 2 der Belastungsbeleg mit 
eventuell zusatzlichen POS-Daten verknupft, und der Transaktionsbeieg wird 
vom POT-Gerat elektronisch signiert und optional komprimiert und chiffriert. 
Der auf diese Weise vorbereitete elektronische Transaktionsbeieg wird dann 

20 optional im Schritt 230 in einem Stack im POT-Gerat 2 abgelegt. Der Stack 
enthalt Transaktionsbelege von verschiedenen Kunden. Die Transaktionsbe- 
lege werden dann individuell Oder gruppiert wflhrend dem Schritt 231 der 
Clearingeinheit 3 Cibertragen. Die Gbertragung kann entweder gleich nach der 
Transaktion erfolgen, Oder es konnen in periodischen Zeitabstanden (zum Bei- 

25 spiel jede Stunde Oder jeden Tag) mehrere Transaktionsbelege aus dem Stack 
ubertragen werden. Ein Batch-Prozess, urn alle Transaktionsbelege zum Bei- 
spiel in der Nacht zu Cibertragen, kann auch angewendet werden. 

Die Clearingeinheit 3 empfangt individuelle oder gruppierte Trans- 
aktionsbelege aus mehreren POT-Geraten 2 in derselben geographischen 
30 Zone (Schritt 234). Mehrere geographisch verteilte Clearingseinheiten konnen 
vorgesehen werden. Im Schritt 235 teilt die Clearingseinheit 3 die von ver- 
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schiedenen POT-Geraten empfangenen Transaktionsbelege den entsprechen- 
den Finanzinstituten Oder Dienstanbietern zu, und leitet diese Transaktionsbe- 
lege entsprechend weiter. 

Wenn die Transaktionsbelege chiffriert sind, mussen sie von der 
5 Clearingeinheit zuerst entschlusselt werden, um einem Finanzserver 4, 4\ 4" 
zugeteilt zu werden, und dann wieder von der Clearingseinheit chiffriert, um sie 
weiterzuleiten. In einer bevorzugten Variante werden jedoch die Datenele- 
mente in den Feldern IDUI und eventuell POSID des Transaktionsbeleges, die 
fiir das Clearing benfitigt sind, vom POT-GerSt 2 nicht chiffriert. Dadurch kann 
10 eine gesicherte, end-to-end verschlusselte Obertragung der Transaktionsbe- 
lege zwischen den POT-Geraten und den Finanzserver 4, 4\ 4" erreicht wer- 
den. 

Der zustSndige Finanzserver empfangt im Schritt 236 die Transak- 
tionsbelege, und der TTP-Server 40 dekomprimiert und entschlusselt sie (falls 

15 benotigt), und uberpruft die Echtheit der Signaturen vom POT-GerSt und vom 
Kunden. Im Schritt 237 wird gepruft, ob der POSID und/oder die IDUI sich in 
einer Revocation List befmden. 1st der Test negativ (238), weil weder die POT- 
GerSt-ldentifizierung noch die Kundenidentifizierung IDUI sich auf dem 
Revocation List befinden, erfolgt im Schritt 239 ein Test des Ladetokens LT. 

20 Der Ladetoken LT gibt die Anzaht der Nachladungen der Karte 10. Dieser 
Ladetoken wird im Finanzserver (LT 8 ) und in der Karte (LT C ) nach jedem 
Nachladeprozess aktualisiert, wie spater beschrieben. Eine Kopie des Lade- 
tokens LT C ist im Feld IDUI im Transaktionsbeleg ubertragen. Der vom Mobil- 
system 1,10 mitgeteilte Ladetoken LT C muss gleich wie der im Finanzserver 4 

25 gespeicherte Ladetoken LT S sein. Falls Nachladebelege noch auf dem Weg 
zwischen der Finanzserver 4 und dem Mobilsystem 1,10 sind, kann LT C tempo- 
rar auch kleiner sein als LT S . Der Finanzserver 4 prQft also ob LT C ^ LT 5 . 

Wird im Schritt 240 diese Bedingung nicht verifiziert, wurde wahr- 
scheinlich ein nicht autorisierter Nachladeprozess durchgefuhrt und das Ver- 
30 fahren geht zum Schritt 241 uber. Es wird hier unterschieden, ob die FSIschung 
vom POT oder vom Kunden gemacht worden ist. Ist der Kunde verantwortlich, 
wird er im Schritt 242 in einer Blackliste eingetragen. Ein Kundensperrungsbe- 
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leg wird vorzugsweise generiert und an das Mobilsystem 1, 10 des Kunden 
geschickt, urn das Blockierflag zu setzen und dieses System zu sperren, sowie 
an alle POT-Gerate, oder zumindest an alle POT-Gerate im einem vordefinier- 
ten geographischen Bereich, urn diesen Kunden in der Blackliste dieser POT 
5 einzutragen. Wurde dagegen das Problem vom POT-Gerat verursacht, wird 
dieses im Schritt 243 in einer POT-Blackliste eingetragen. 

Wird im Schritt 240 die Ladetokenprufung bestanden, kann im 
Schritt 244 der Betrag A im Transaktionsbeieg dem Kundenkonto 41 beim 
Finanzinstitut belastet werden. Andere Zahlungsvarianten, zum Beispiel mit 

10 einer Kreditkarte oder durch Erstellung einer Rechnung, sind naturlich im 
Rahmen dieser Erfindung auch moglich. Im Schritt 245 wird entsprechend der 
Betrag A einem Konto 420, 420' Oder 420" des POT-Betreibers bei einem 
Finanzinstitut gutgeschrieben. Bearbeitungsgebuhren kfinnen auch von einem 
Finanzinstitut und/oder vom POT-Betreiber oder vom Netzoperator dem POT- 

15 Konto 420 und/oder dem Kundenkonto 41 belastet werden. 

Im Schritt 246 tragt dann der Finanzserver 4 diese Transaktion in 
den Transaktionszahler ein. Ein Prozess erfolgt dann im Schritt 247, um die 
Werte vom Ladetoken LT und vom Transaktionszahler Tz im Mobilsystem zu 
aktuaiisieren 

20 Wir kommen auf den Prozess im Mobilsystem 1,10 zuruck. Wie 

schon erklart, gelangt dieses System zum Schritt 248, wenn ein Sicherheits- 
problem im Schritt 212, 214 oder 216 festgestellt wird. In diesem Fall erfolgt ein 
kompletter Checkup mit dem Finanzserver, vorzugsweise Qber das Mobilfunk- 
system 6. Der Checkup umfasst zum Beispiel einen Test und eine Erneuerung 

25 des Authentifizierungszertifikats sowie eine Uberprufung von alien ausgefiihr- 
ten Parametem, zum Beispiel der Ladetoken LT, der TransaktionzShler Tz, der 
Blackliste, usw. 1st das Ergebnis des Checkups negativ, wird das Blockierflag 
gesetzt, so dass das Mobilsystem 1 , oder mindestens die betreffende Anwen- 
dung in der SIM-Karte 10, gesperrt wird (Schritt 253). Zeigt im Gegenteil diese 

30 Priifung, dass h6chstwahrscheinlich keine Falschung versucht wurde, wird im 
Schritt 250 die Validationszeit neu gesetzt. Mit der Validationszeit kann zum 
Beispiel das Mobilsystem gesperrt werden, wenn es wahrend einer vordefi- 
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nierten Zeit t zum Beispiel ein Jahr, nicht benutzt wird. Diese Angabe muss da- 
her nach jeder Benutzung neu eingestellt warden. Der Blockierflag wird dann 
im Schritt 251 geloscht, und eine neue Area im Schritt 252 gesetzL 

Wichtig zu bemerken tst, dass der Belastungsprozess mit unter- 
5 schiedlichen Wahrungen erfolgen kann, zum Beispiel auf der Basis der im 
Telekommunikationsbereich ublichen SDR (Sonderziehungsrechte) Oder mit 
einer anderen Referenzwahrung (zum Beispiel Euro Oder Dollar). Der maximale 
Betrag auf der Karte ist je nach Kundenklasse definiert. Minimal ist ein 
Defaultwert in SDR mOglich. Jedes GerSt 2 speichert den fur ihn reievanten 
10 SDR-Wert (wfihrungsspezifisch), der ihm im Einbuchungsprozess vom Server 
mitgeteilt wird. Je nach Kursschwankungen werden die POT-Gerate vom 
Finanzserver automatisch mit aktuellen Kursen versorgt. 

Ein Verfahren zum Nachladen des Mobilsystems 1 , 10 mit einem 
Geldbetrag wird jetzt mit Hilfe der Figur 6 nSher beschrieben. Dieses Verfahren 
15 kann ebenfalls auf beliebige Ausfuhrungsformen der Erfindung gemass den 
Figuren 1 bis 4 angesetzt werden. 

Ein Nachladeprozess erfolgt mit dem Mobilsystem 1,10 des Kunden 
und dem POT-Gerat 2 zusammen. Ein direkter Nachladeprozess vom Finanz- 
server 4 kflnnte aber auch angesetzt werden. Je nach Kundenklasse, Oder 
20 auch nach Bedarf, kann vom Finanzserver der Beleg-Kartenstack beim Kun- 
den, zwecks detaillierter Kontrolle, abgerufen werden. Nach dem Nachladepro- 
zess kann der Stack vom Finanzserver gelfischt werden. 

Die erste Kolonne in Figur 6 zeigt die Verfahrensschritte, die haupt- 
sachlich das Mobilsystem 1,10 involvieren ; die zweite beschreibt die Verfah- 

25 rensschritte, die vom POT-Gerat 2 ausgefuhrt werden ; die dritte betrifft die 
Operationen vom Finanzserver 4 und die vierte die Effekte auf die verschiede- 
nen Konten beim Finanzinstitut. Es muss aber bemerkt werden, dass viele 
Verfahrensschritte entweder mit dem Mobilsystem 1,10, zum Beispiel inner- 
halb der SIM-Karte 10, Oder mit dem POT-Gerat 2 ausgefuhrt werden konnen. 

30 Zum Beispiel konnen die Verfahrensschritte, welche die Dateneingabe betref- 
fen, entweder auf dem POT-Gerat oder auf dem MobilgerSt 1 ausgefuhrt wer- 
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den, wenn das Mobilgerat eine Tastatur enthalt, wie zum Beispiel ein GSM- 
Mobilgerat Wenn das Mobilgerat 1 und das POT-Gerat 2 nicht drahtverbunden 
sind, wird die Kommunikation zwischen den beiden Teilen vorzugsweise ver- 
schlusselt, zum Beispiel mit einem DEA-, DES- TDES-, RSA- oder ECC- 
5 Sicherheitsalgorithmus. 

Im Schritt 300 wird zuerst das Mobilsystem 1,10, zum Beispiel die 
Identifizierungskarte 10, operativfur den Nachladeprozess freigeschaltet ; das 
POT-Gerat 2 wird seinerseits auch im Schritt 301 aktiviert Das POT-Gerat 2 
ruft dann im Schritt 302 in einem Broadcastverfahren das nachste, unbe- 
10 stimmte Mobilsystem 1,10 auf (« Kartenpaging »). 

Wenn die Verbindung zwischen dem POT-Gerat 2 und dem Mobil- 
system 1,10 hergestellt worden ist, ubergibt im Schritt 303 der Kunde dem POT 
seine Identifizierung IDUI (International Debit User Identification) und deh Typ 
des zu startenden Prozesses, hier eine Nachladung. 

15 Das POT-Gerat 2 enthalt eine vorzugsweise vom Finanzserver 4 

periodisch aktualisierte Schwarzliste uber zu sperrende Mobilsysteme 
(Revocation list). Die vom Kunden ubermittelte IDUI wird mit der Schwarzliste 
verglichen (Schritt 304). Wenn die vom Kunden Obergebene IDUI in der 
Schwarzliste gefunden wird (Schritt 305), wird ein Blockierflag im Schritt 306 

20 gesetzt. Danach, oder wenn keine Ubereinstimmung gefunden wird, wird im 
Schritt 307 geprQft, ob die Aufforderung mit der IDUI korreliert Wenn nicht, 
wird der RQckweisungsgrund am POT-Gerat 2 angezeigt (Schritt 315). Sonst 
wird im Schritt 308 das Blockierflag gepruft. 1st es gesetzt, wird das Mobil- 
system 1 t oder mindestens die betreffende Anwendung in der Identifizierungs- 

25 karte 10, gesperrt (Schritt 331). Ist es nicht gesetzt, wird der Kunde im Schritt 
310 aufgefordert, sein Benutzerpasswort am Mobilgerat 1 manuell einzugeben. 
Ist das eingegebene Passwort nicht korrekt (Schritt 31 1), wird ebenfalis das 
Blockierflag gesetzt und der RQckweisungsgrund am POT-Gerat 2 angezeigt 
(Schritt 315) ; sonst ist der Prozess frei fur die Nachladung und der Kunde wird 

30 im Schritt 312 aufgefordert, die transaktionspezifischen Daten, hier ein Nach- 
ladebetrag A, einzugeben. In der dargestellten Variante kann der Nachladebe- 
trag am POT-Gerat eingegeben werden ; dieser Betrag wird im Schritt 31 3 mit 
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der POSID und mit der IDUI verknupft, signiert und an die Karte 10 Qbermittelt. 
Der Betrag A konnte aber auch am MobilgerSt 1 erfasst werden ; in diesem Fall 
ist kein POT involviert, und die POSID wird daher nicht benfltigt. 

Im Schritt 314 wird gepruft, ob die IDUI in den vom POT-Gerfit 2 

5 empfangenen Daten mit der eigenen IDUI ubereinstimmt. Wenn nicht, wird der 
Ruckweisungsgrund am POT-Gerat 2 angezeigt (Schritt 315) ; sonst wird der 
gewunschte und am POT-GerSt eingegebene Nachtadebetrag auf dem Bild- 
schirm des MobilgerSts angezeigt. Im Schritt 316 werden dann die POSID, die 
IDUI, die schon erwahnte Anzahl Zahlungstransaktionen Tz, die auf der Karte 

10 gespeicherte Anzahl ausgefuhrter Nachladeprozesse (LTc, Lade-Token Kun- 
den) und der Restbetrag auf der Karte DRA (Debit Rest Amount) verknupft, 
signiert, verschlusselt und dann optional komprimiert Es entsteht dadurch ein 
Nachladebeleg. Optional kann auch der Beleg-Stack auf der Karte Qbermittelt 
werden, zum Beispiel je nach Kundenklasse, bei Kartenausgabe Oder nach 

15 Bedarf wahrend der Nutzung bei Solvenzproblemen. Die POSID wird nur in den 
Nachladebeleg integriert, wenn der Kunde Qber ein Mobilgerat ohne den POT- 
Eingabeteil verfugt, damit er vom Finanzserver auch adressiert werden kann. 
Der Nachladebeleg wird dann an den Finanzserver 4, 4', bzw. 4" Qbermittelt, 
wo der TTP-Server 40 diesen Beleg im Schritt 317 empfSngt, gegebenenfalis 

20 entschlusselt und dekomprimiert, und die Signatur vom Kunden und gegebe- 
nenfalis vom POT uberpruft. 

Im Schritt 319 werden mit Hilfe der Tabelle 318, welche die Anzahl 
und Token bezuglich der Prozesse zwischen dem Kunden und dem Finanz- 
server speichert, folgende PrQfungen durchgefQhrt : 

25 BetrageprQfung : Die Summe ZA aller auf der Karte geladenen Be- 

trfige, inklusive der Startsumme, muss gleich Oder kleiner sein als die Summe 
aller Kontrollbelastungen 2KB und des Restbetrags DRA auf der Karte. Die 
Summe kann kleiner sein, weil die Belege, die noch zwischen dem Mobilsystem 
1,10, der Clearingeinheit 3 und dem Finanzserver 4, 4', 4" sind, in diesem 

30 Moment noch nicht erfasst werden kOnnen. 



WO 98/37524 



21 



PCT/CH98/OQ086 



Ladetoken-Prtifung : Die Anzahi von Lade- bzw. Nachlade-Trans- 
aktionen wird rm Mobilsystem, zum Beispiel in der SIM-Karte mit einem Token 
LTc und im Finanzserver 4 mit einem anderen Token LTs gezShlt Diese beide 
Token mussen gleich sein. 

5 TransaktionszShlerprtifung : Fur jede Zahlungstransaktion wird der 

TransaktionszShler Tz im Mobilsystem 1,10 inkrementiert ; in jedem Nachlade- 
beleg wird auch Tz ubertragen. Der beim Finanzserver gespeicherte Transakti- 
onszahierTrs, der durch die vom Kunden transferierten Beiege inkrementiert 
wird, muss gleich oder eventuell kleiner sein als der Transaktionszahler Tz im 

10 Mobilsystem 1,10. 

» 

Wenn eine von diesen drei Bedingungen nicht erfullt ist (Schritt 
320), wird der Blockierflag im Schritt 321 gesetzt und der Nachladeprozess im 
Schritt 325 zurCickgewiesen. Sonst wird im Schritt 322 der Kontostand 41 des 
Kunden uberpriift. Reicht er nicht fur die Nachladung, wird im Schritt 325 
15 ebenfalls die Ruckweisung aufbereitet. 

Wenn das Konto (oder die Kontolimite) des Kunden beim Finanz- 
institut 4 fur den nachzuladenden Betrag reicht (Schritt 322, 323), wird dieser 
Betrag vom Kundenkonto 41 abgehoben (324), inklusive allfalliger Kommis- 
sionen. Ein Nachladebeleg wird dann im Schritt 326 aus der POSID, der IDUI, 

20 dem Betrag A, dem neuen Lade-Token LTn, und einem vordefinierten Time Out 
Inkrement TOi erstellt. Dieser Nachladebeleg wird im Schritt 327 signiert, 
optional verschlCisselt und komprimiert, und an das Mobilsystem 1 ,10 des Kun- 
den ubertragen. Dieses pruft wahrend dem Schritt 328, ob die Signatur im Be- 
leg vom Finanzserver stammt, und verifiziert wahrend dem Schritt 330, ob das 

25 Blockierflag gesetzt ist. Falls es gesetzt ist (Schritt 330), wird das Mobilsystem 
1 , oder mindestens die betreffende Anwendung, im Schritt 331 gesperrt. Sonst 
wird noch gepruft, ob der Finanzserver eine Ruckweisung aufgefordert hat 
(Schritt 332), was zur Unterbrechung des Prozesses mit Anzeige des RQckwei- 
sungsgrundes fuhrt (Schritt 334). 

30 Wenn alle Tests erfolgreich bestanden sind, wird im Schritt 335 das 

Kartenkonto mit dem geforderten Nachladebetrag gebucht. Der alte Ladetoken 
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LTc wird dann mit dem vom Finanzserver uberrnittelten neuen Ladetoken LTn 
ersetzt (Schritt 336), der Transaktionszahler Tz auf der Karte wird irn nSchsten 
Schritt 337 zurtickgesetzt, und der Time Out TOi im Schritt 338 neu gesetzt. 
Wenn im Schritt 339 festgestellt wird, dass im Nachladebeleg das POSID ent- 
5 halten ist, wird ausserdem im Schritt 340 eine neue Area gesetzt. 

Der Nachladebetrag wird dann als Bestatigung angezeigt, entweder 
am Bildschirm des Mobilgerats oder am POT-Gerat (Schritt 341). Schliesslich 
wird auch noch der Gesamtkontostand auf der Karte angezeigt (Schritt 342). 

Die Sicherung der Datenubermittlungen durch Kryptographie wird in 
10 zwei verschiedenen Segmenten unterschiedlich untemommen. Zwischen dem 
Kunden und dem POT wird die Kommunikation durch die Luftschnittstelle durch 
zum Beispiel einen Aigorithmus wie DES, TDES, RSA oder ECC sichergestellt. 
Zwischen Kunden und Finanzserver kommt dagegen das TTP (Trusted Third 
Party)- Verfahren, oder optional ein PTP-Verfahren (Point-to-Point) zur Anwen- 
15 dung. Die notigen Elemente sind auf das Identifizierungselement 10 und im 
TTP-Server 40 integriert. Eine Beschreibung des TTP-Konzeptes wird als An- 
hang beigeiegt. 

In der Folge wird mit Hilfe der Figur 7 der Informationsfluss in einer 
fQnften Variante des Transaktionsverfahrens gemass der Erfindung erlautert. 
20 Der Kunde ist mit einem MobilgerSt 1 ausgerdstet, das ebenfalls eine SIM- 
Karte 10 enthfllt, die ihn im GSM-Netz 5 identifiziert. Der Verkaufer braucht ein 
POT-Gerat 2 mit einem Modem-Anschluss 22 an einem Telekommunikations- 
netz 6, zum Beispiel ein Fixnetz. Beide haben einen Vertrag mit dem Betreiber 
des Finanzservers 4\ zum Beispiel einem Finanzinstitut. 

25 Damit die Transaktion zwischen Kunden und Verkaufer erfolgt, muss 

der Verkaufer zuerst den zu bezahlenden Betrag A in den POT 2 eintippen. 
Das POT-Gerat verknupft diesen Betrag A mit einem im POT gespeicherten 
POSID, das die Filiale und die Kasse in dieser Filiale identifiziert. Diese ver- 
knupften Daten werden durch das vorzugsweise gesicherte Datennetz 6 an den 

30 Finanzserver 4' ubermittelt. 
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Der Kunde bereitet auf selnem GerSt 1 eine spezielle Kurzmeldung 
vor, vorzugsweise eine SMS-Kurzmeldung oder eventuell eine USSD-Datei, die 
den zu zahlenden Betrag A und das vom VerkSufer mdndlich kommunizierte 
POSID enthait, und sendet diese Kurzmeldung Qber das GSM-Netz 5 und die 
5 nicht dargestellte Kurzmeldungsbetriebszentrale (SMSC) an den Finanzserver 
4\ Diese Kurzmeldung enthait automatisch die in der SIM-Karte gespeicherte 
Kundenidentifikation. Vorzugsweise ist ausserdem ein verlangter Sicherheits- 
PIN-Code enthalten. Die Kurzmeldung kann vor der Gbermittlung verschlusselt 
werden. 

10 Vorzugsweise werden keine Angaben uber den gekauften Dienst, 

das Produkt Oder die Information Cibermittelt, urn die Privatsphare des KSufers 
zu schutzen. 

Der Finanzserver 4' erhSIt die Daten vom POT-Gerat 2 und vom 
Mobilsystem 1 des Kunden und ergSnzt sie, falls notwendig. Er kennt vom POT 

15 die Identitat POSID und den Betrag A. Daher kann er das gutzuschreibende 
POT-Konto 420, 420\ 420" bestimmen. Vom Kunden kennt er die Identitat 
durch Kundenidentifizierung und gegebenenfalls den PIN und den Betrag. 
Daher kann er das zu belastende Kundenkonto 41 bestimmen. Der Finanz- 
server 4' vergleicht dann das vom POT-Gerdt 2 und vom Mobilsystem uber- 

20 mittelte POSID sowie den Betrag. Bei Clbereinstimmung erfolgt die Transaktion 
zwischen POT-Konto und Kundenkonto. Der Finanzserver 4' schickt dann eine 
Meldung an das POT-GerSt 2 und/oder an das MobilgerSt 1, dass die Trans- 
aktion erfolgt ist, und diese Meldung wird angezeigt. Bei Unstimmigkeiten wird 
der Vorgang abgebrochen. 

25 In der Folge wird mit Hilfe der Figur 8 der Informationsfluss in einer 

sechsten Variante des Transaktionsverfahrens gemass der Erfindung eriautert. 
Der Kunde ist mit einem Mobilgerat 1 ausgerCistet, das ebenfalls eine SIM- 
Karte 10 enthait, die ihn im Mobilfunknetz 5 identifiziert. Der Verkaufer braucht 
ein POT-Gerat 2 mit einem Modem-Anschluss 22 an einem Telekommunikati- 

30 onsnetz 6, zum Beispiel ein Fixnetz. Beide haben einen Vertrag mit dem Be- 
treiber des Finanzservers 4 J , zum Beispiel ein Finanzinstitut. 
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Damit die Transaktion zwischen Kunden und Verkaufer erfolgt, muss 
der Betreiber des POT-Gerats, zum Beispiel ein Verkaufer, den zu bezahlen- 
den Betrag A und die Mobilrufnummer vom Kunden auf dem POT-Gerat 2 er- 
fassen. Das POT-Gerat verknCipft diese Angaben mit einem im POT gespei- 
5 cherten POSID, das die Filiale und die Kasse in dieser Filiate identifiziert. 
Diese verknupften Daten werden durch das vorzugsweise gesicherte Daten- 
netz 6 an den Finanzserver 4' ubermittelt. Vorzugsweise werden keine Anga- 
ben uber das gekaufte Produkt ubermittelt, urn die Anonymitat des Kaufers zu 
gewahrleisten. 

10 Der Finanzserver 4' erhait die Daten vom POT und erganzt sie, falls 

notwendig. Er kennt die Identitat POSID des POT und den Betrag A. Darter 
kann er das gutzuschreibende POT-Konto 420, 420', 420" bestimmen. Eben- 
falls kann er den Kunden durch die ubermittelte Mobilrufnummer identifizieren, 
und kennt daher das zu belastende Kundenkonto 41. 

15 Der Finanzserver 4' schickt dann dem Kunden eine spezielle Kurz- 

meldung, zum Beispiel eine SMS- Oder USSD-Kurzmeldung, die den Betrag A 
enthalt. Der Kunde muss dann die Transaktion mit einer Bestatigungs-Kurz- 
meldung bestatigen, die eine Identifizierung des Kunden im GSM-Netz enthalt. 
Falls keine Bestatigung des Kunden kommt, Oder wenn die Dbermittelte Identi- 

20 fizierung nicht mit der Kunden-Mobilrufnummer Dbereinstimmt, wird der Vor- 
gang abgebrochen. Sonst erfolgt die Transaktion. 

In der Folge wird mit Hilfe der Figur 9 der Informationsfluss in einer 
siebten Variante des Transaktionsverfahrens gemass der Erfindung erlautert. 
Der Kunde ist mit einem Mobilgerat 1 ausgerustet, das ebenfalls eine SIM- 
25 Karte 1 0 enthalt, die inn im GSM-Netz 5 identifiziert. Der Verkaufer braucht ein 
normales POT-Gerat 2, das keinen Telekommunikationsanschluss benotigt. 
Beide haben einen Vertrag mit dem Betreiber des Finanzservers 4', zum Bei- 
spiel einem Finanzinstitut. 

Damit die Transaktion zwischen Kunden und Verkaufer erfolgt, muss 
30 der Kunde eine spezielle Kurzmeldung, zum Beispiel eine SMS- oder USSD- 
Kurzmeldung, vorbereiten, die den zu zahlenden Betrag A und das vom Ver- 
kaufer kommunizierte POSID enthalt, und diese Kurzmeldung Ciber das GSM- 
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Netz 5 und die SIM-Zentrale an den Finanzserver 4' senden. Diese Kurzmel- 
dung enthait automatisch die in der SIM-Karte gespeicherte Kundenidentifika- 
tion. Vorzugsweise enthSIt sie ausserdem einen verlangten Sicherheits-PIN- 
Code. Vorzugsweise werden keine Angaben uber das gekaufle Produkt uber- 
5 mittelt, urn die Privatsphare des Kfiufers zu schQtzen. 

Der Finanzserver 4' erhait die Daten vorn Kunden und erganzt sie, 
falls notwendig. Er kennt die Identitat POSID des POT-GerSts und den Betrag 
A. Daher kann er das gutzuschreibende POT-Konto 420 bestimmen. Ebenfalls 
kann er den Kunden durch die Kundenidentifizierung in der Kurzmeldung iden- 
10 tifizieren, und kennt daher das zu belastende Kundenkonto. 

Der Finanzserver 4' tatigt dann die Transaktion, und sendet dem 
POT-Betreiber eine Bestatigungsmitteilung in Form einer Kurzmeldung, eines 
e-mails oder eines normalen Postbriefes, Diese Mitteilung enthait mindestens 
die Identifizierung des POT, das Datum, die Zeit, den Betrag und eventuell das 
15 Kundenkonto. 

Vorzugsweise werden alle Belege zwischen Mobilgeraten, POT-Ge- 
raten und den Finanzservern als SMS- oder USSD-Meldungen ubermittelt. 
Falls SMS-Kurzmeldungen benutzt werden, werden sie vorzugsweise mit ei- 
nem speziellen Header im Datentelegramm versehen, urn diese Meldungen 
20 von gewohnlichen Meldungen zu unterscheiden. Vorzugsweise wird ausserdem 
der Inhalt von diesen Meldungen mit dem im Anhang beschriebenen und durch 
die Figuren 10 bis 1 3 veranschaulichten TTP-Verfahren verschlusselt. 

Der Fachmann wird verstehen, dass die Erfindung auch fQr nicht 
fmanzielle Transaktionen zwischen einem Mobilsystem und einem mit einem 

25 Telekommunikationsnetz 5 verbundenen POT-GerSt 2 geeignet ist. Das POT- 
Gerat 2 kann zum Beispiel auch durch eine Verschlussvorrichtung gebildet 
werden ; fur diese Anwendung ist das Mobilsystem 10, zum Beispiel in der 
Form einer Chipkarte, mit einem elektronischen Schlussel geladen; der Schlus- 
sel wird aus dem Server 4 nachgeladen und auf der Karte 10 gespeichert Urn 

30 die Verschlussvorrichtung zu Offnen, wird eine kontaktlose Kommunikation, 
zum Beispiel durch eine induktive oder eventuell infrarote Schnittstelle, zwi- 
schen dem Mobilsystem 10 und dem POT-GerSt 2 aufgebaut. Die Verschluss- 



WO 98/37524 



WO 98/37524 



26 



PCT/CH98/00086 



vorrichtung wird nur dann geSffnet, wenn es sich nach dieser Kommunikation 
erweist, dass der im Mobilsystem 10 gespeicherte Schlussel korrekt ist und 
seinem Besitzer das Eintrittsrecht in die geschutzte Zone gibt. Der Server 4, mit 
dem die Verschlussvorrichtung durch das Netz 5 verbunden ist, verwaltet und 
5 registriert die Zutrittsgenehmigungen und belastet gegebenenfalls das Konto 
41 des Kunden mit einem von den erfolgten Zutritten abhangigen Betrag. 
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Anhang - Grundlagen der Kryptographie und TTPs 



Slcherheitsanforderungen 



Beim Austausch von Daten zwischen dem Mobilsystem 1,10 und 
5 dem Finanzserver 4 unterscheidet man zwischen folgenden Anforderungen an 
die Sicherheit: 

• Vertraulichkeit: Sicherstellung, dass eine Information nichtfur 
Unbefugte zugangiich oder lesbar gemacht wird. 

• Authentifikation: Prozess, in dem die Authentizitat uberpruft wird. 



10 • Authentizitat: Beweis einer IdentitSt. Sie bewirkt die Gewissheit, 

dass der Kunde, das POT-Gerat 2 oder der Server 4 tatsSchlich 
derjenige ist, fdr den er sich ausgibt 

• Authentizitat einer Information: Gewissheit, dass der Absender/ 
Hersteller einer Information (Mobilsystem 1,10, POT-Gerat oder 

15 Finanzserver) authentisch 1st 

• Nichtabstreitbarkeit des Ursprungs / Herkunftsbeweis: Der 
Absender einer Information kann nicht abstreiten, dass die Infor- 
mation von ihm stammt. 

• Integritat: Sicherstellung der Konsistenz der Information, d.h. 

20 Schutz vor Veranderung, Hinzufugung oder Loschung von Infor- 

mationen. 



Nachfolgend wird hier statt des Begriffes Jnformation" der Begriff 
n Meldung B verwendet. Eine Meldung ist eine Information (hier eine Bitfolge), die 
von einem Absender an einen Empfanger ubermittelt wird. Fur diese Applika- 
25 tion kann eine Meldung zum Beispiel ein Zahlungsbeleg oder ein Nachlade- 
beleg sein. Die Begriffe „Absender" und n EmpfSnger meinen, je nach Richtung 
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der Meldung, entweder das Mobilsystem 1,10, das POT-GerSt 2 oder den 
Finanzserver 4. 

Die Authentizitat des Absenders, Integritat der Information und 
Nichtabstreitbarkeit des Ursprungs der Information warden durch die Verwen- 

5 dung einer sog. Digitalen Signatur erreicht. Eine Digitale Signatur ist ein 
kryptographischer Code (d.h. eine Bitsequenz), der fur eine bestimmte Infor- 
mation einzigartig ist, und fur dessen Herstellung ein kryptographischer 
Schlussel (ebenfalls eine Bitsequenz), den nur der Verfasser besitzt, benQtigt 
wird. Die Digitale Signatur kann demnach nur vom Besitzer des privaten 

10 Schlussels hergestellt werden. Sie wird normalerweise der Originalmeidung 
beigefugt. 

Die Vertraulichkeit der Informationsubertragung wird durch Ver- 
schlusselung erreicht. Sie besteht darin, dass die Meldung mit Hiife eines Ver- 
schlusselungsalgorithmus und eines kryptographischen Schlussels 
1 5 (Bitsequenz) in einen unleserlichen Zustand verwandelt wird. Aus der auf diese 
Art verwandelten Meldung kann die Ursprungsinformation nicht zuruckgewon- 
nen werden, es sei denn, man kenne den zum Entschlusseln notwendigen 
Schlussel. 

Wie das im Detail funktioniert, wird im folgenden dargelegt. 

20 Symmetrische und asymmetrische Verschliisselung 

Man unterscheidet zwei Arten von Verschlusselungsalgorithmen: 

• Symmetrisch; Zum Chiffrieren und Dechiffrieren (Chiffrieren = 
Verschlusseln) einer Information wird derselbe kryptographische 
Schlussel verwendet. Folglich mussen der Absender und der 
25 Empfanger im Besitz des gleichen Schlussels sein. Ohne diesen 

Schlussel ist es unm6glich, die Originalinformation wieder zuruck- 
zubekommen. Der heute am haufigsten verwendete symmetrische 
Algorithmus ist DES (Digital Encryption Standard). Andere Algo- 
rithmen sind z.B. IDEA, RC2 und RC4. Symmetrische Algorithmen 
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werden vorzugsweise fur die Sicherung der Datenubertragungen 
zwischen Mobilsystem und POT-Gerat eingesetzt. Der Schlussel 
wird dann im POT-Gerat 2 und im Mobilsystem 1 0 gespeichert. 

• Asymmetrisch: Zum Chiffrieren und Dechiffrieren werden zwei 
verschiedene, komplementare Schlussel verwendet 
(Schlusselpaar); das heisst, die Meldung wird mit einem ersten 
Schlussel chiffriert und mit einem zweiten Schlussel dechiffriert. 
Diese Prozedur ist umkehrbar, d.h., es kann auch der zweite 
Schlussel zum Chiffrieren und der erste Schlussel zum Dechiffrie- 
ren benutzt werden. Es ist unmoglich, aufgrund des ersten 
Schlussels den zweiten Schlussel zu rekonstruieren (Oder umge- 
kehrt). Ebenso ist es unmoglich, aufgrund der chiffrierten Informa- 
tion den Schlussel zu berechnen (dies ist sogar dann gultig, wenn 
die Originalinformation bekannt ist). Der heute mit Abstand am 
haufigsten verwendete asymmetrische Algorithmus ist RSA 
(benannt nach dessen Erfindern Rivest, Shamir und Adleman). 
Eine Variante davon ist DSS (Digital Signature Standard). 

Mit Hilfe der asymmetrischen Chiffrierung kann eine sogenannte 
Digitale Signatur hergestellt werden. Wie das im Detail funktio- 
niert, wird im folgenden erklart. 

Private und flffentliche Schlussel 

Mit Hilfe der asymmetrischen Verschlusselungstechnik kann ein so- 
genanntes System von offentlichen und privaten Schlusseln reaiisiert werden. 
Dabei wird der eine Schlussel des komplementaren SchlCisselpaares als privat 
bezeichneL Er ist im Besitz des Absenders, zum Beispiel des Kunden, und ist 
nur ihm bekannt. Er wird deshalb auch geheimer Schlussel genannt (wobei 
dieser Begriff normalerweise ftir symmetrische Schlussel verwendet wird). Der 
andere Schlussel ist der offentliche Schlussel. Er ist allgemein zuganglich. Wie 
oben erwahnt, ist es nicht mbglich, aufgrund des offentlichen SchlQssels den 
privaten Schlussel zu berechnen. Jedes Mobilsystem, POT-Gerat und jeder 
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Finanzserver ertiSIt von einer vertrauenswurdigen Instanz ein Schlusselpaar 
bestehend aus einem privaten und einem fiffentlichen Schlussel. 

Es ist von eminenter Wichtigkeit, dass der private Schlussel auch 
wirklich geheim bleibt, d.h., dass keine andere Person ihn kennt, weil darauf 

5 die Sicherheit der Digitalen Signatur aufbaut. Darum wird der private Schlussel 
nur in verschlusselter Form auf der Identif izierungskarte 1 0 gespeichert, auf 
der ausserdem der Chiffrieralgorithmus direkt implementiert ist. Auf diese 
Weise bleibt der private Schlussel immer irn Chip und verlSsst diesen in kei- 
nem Moment. Die zu verschlusselnden Daten werden in den Chip transferiert, 

10 dort werden sie verschlusselt und anschliessend wieder zuruckgesendet. Die 
Architektur des Chips ist so definiert, dass der private Schlussel weder mit 
elektronischen, noch mit optischen, mechanischen, chemischen Oder elektro- 
magnetischen Mitteln gelesen werden kann. 

Im Gegensatz zum privaten Schlussel ist der offentliche Schlussel 
15 allgemein bekannt und wird an alle Benutzer verteilt Der Einfachheit halber 
wird der offentliche Schlussel in der Regel mit jeder Meidung mitgeschickt. Wie 
wir weiter unten sehen werden, braucht es dabei eine vertrauenswurdige 
Instanz (Zertifizierungsinstanz), die fur die Echtheit der effentlichen SchlQssel 
burgt, da ein Krimineller sein eigenes Schlusselpaar herstellen und sich als 
20 jemand anderen ausgeben kann. Diese Echtheitsgarantie geschieht in Form 
eines sogenannten Zertifikates, was im folgenden genauer beschrieben wird. 

Die Hashfunktlon 

Die Hashfunktion ist ein nicht-reziproker Algorithmus, der aufgrund 
einer bestimrnten Information beiiebiger Lange einen Hashwert 

25 (Kurzfassung/Komprimat) fixer Lange herstellt. Er ist mit der Quersumme einer 
ganzen Zahl vergleichbar. Dabei ist die Lfinge der Meidung typischerweise urn 
einiges grflsser als der daraus beredinete Hashwert. So kann die Meidung z.B. 
me hrere Megabytes umfassen, wogegen der Hashwert nur 128 Bits lang ist Es 
ist zu beachten, dass aufgrund des Hashwertes nicht auf die Originalinforma- 

30 tion zuruckgeschlossen werden kann (Nichtreziprokitat), und dass es extrem 
schwierig ist, die Information so zu modifizieren, dass sie den gleichen 
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Hashwert ergibt. Zweck einer solchen Funktion ist die Herstellung eines kur- 
zen, fur das jeweilige Dokument einzigartigen, Codes. Dieser wird fur die Her- 
stellung der Digitalen Signatur benutzt. Beispiele von Hashalgorithmen sind 
MD4 (Message Dienst 4), MD5, RIPE-MD und SHA (Secure Hash Algorithm). 

5 Die Digitate (Elektronische) Signatur 

Dieses Verfahren wird mit Hilfe der Figur 10 beschrieben. Jeder Be- 
nutzer erhalt einen privaten und einen offentlichen Schlussel. Um eine Mel- 
dung 90 digital zu signieren, wird sie mit dem privaten Schlussel des Absen- 
ders chiffriert (Block 94). Das Resultat ist die Digitale Signatur 92. Da aber die 

10 so entstandene Signatur die gleiche Gr6sse wie die Originalmeldung aufweisen 
wurde, wird zuerst der Hashwert 93 der Meldung 90 berechnet. Wie oben er- 
wahnt, hat der Hashwert eine fixe Lange und ist fur eine bestimmte Meldung 
einzigartig. Fur die Bildung der digitalen Signatur wird nun statt der Original- 
meldung der Hashwert 93 chiffriert. Die so entstandene Digitale Signatur 92 

15 wird dem Originaldokument 90 beigefugt. Das Ganze wird dann an den Emp- 
fanger verschickt (Figur 10). 

Da nur der Absender des Dokumentes im Besitz seines privaten 
Schlussels 91 ist, kann nur er die Digitale Signatur herstellen. Hier liegt denn 
auch die Analogie zu einer handschriftlichen Unterschrift. Die Digitale Signatur 

20 besitzt aber gewisse Eigenschaften, die bei der handschriftlichen Unterschrift 
nicht vorhanden sind. So kann z.B. bei einem handschriftlich unterschriebenen 
Vertrag nicht ausgeschlossen werden, dass keine Information unbemerkt hin- 
zugefCigt Oder geloscht wurde, was bei der Digitalen Signatur nicht moglich ist. 
Die Digitale Signatur bietet also sogar eine noch bessere Sicherheit als die 

25 traditionelle handschriftliche Unterschrift. 

UberprUfung der Digitalen Signatur 

Da der offentliche Schlussel 97 an alle Benutzer verteilt wird und 
somit allgemein bekannt ist, kann jeder Empfanger die Digitale Signatur 92 
uberprCifen. Dazu dechiffriert er die Digitale Signatur 92 mit dem offentlichen 
30 Schlussel 97 des Absenders (Block 96 auf Figur 1 1 ). Das Resultat ist der 
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Hashwert der Originalmeldung 90. Parallel dazu berechnet der ErnpfSnger den 
Hashwert 95 des Originaldokuments 90, das ja ebenfalls (zusammen mit der 
Signatur 92) an ihn Cibermittelt wurde. Diesen resultierenden zweiten Hashwert 
95 vergleicht der EmpfSnger nun mit dem aus der Signatur dechiffrierten 
5 Hashwert 96. Stimmen die beiden Hashwerte miteinander uberein, so ist die 
Digitale Signatur authentisch. 

Wenn nun die Originalmeldung 90 wShrend der Obermittlung verSn- 
dert wird (ein Bit genQgt), so wird sich auch deren Hashwert 95 verSndern. 
Somit wurde der Empfanger feststellen, dass der Hashwert 95, den er aufgrund 
10 der Originalmeldung berechnet hat, nicht mit dem aus der Signatur dechiffrier- 
ten Hashwert 96 ubereinstimmt, was bedeutet, dass die Signatur nicht korrekt 
ist. Folglich hat der Empfanger bei einer erfolgreichen Oberprufung der digita- 
len Signatur die Garantie, dass die Meldung 90 nicht verSndert wurde 
(Integritat). 

15 Da nur der Hersteller einer Signatur im Besitz seines privaten 

Schlussels 91 ist, kann nur er die Digitale Signatur 92 herstellen. Dies bedeu- 
tet, dass der Empfanger, der die Digitale Signatur 92 besitzt, nachweisen kann, 
dass nur der Absender die Signatur herstellen konnte (Nichtabstreitbarkeit des 
Informationsursprungs). 

20 Zertifizierung des offentlichen Schlussels 

Die Digitale Signatur 92 ermOglicht also die Nichtabstreitbarkeit des 
Ursprungs und die Integritatsgarantie einer Meldung 90. Nun bleibt aber noch 
ein Sicherheitsproblem, namlich die Echtheitsgarantie des offentlichen SchlQs- 
sels 97 des Absenders. Bis jetzt hat namlich der Empfanger keine Garantie 
25 dafur, dass der offentiiche Schlussel 97 tatsachlich derjenige des Absenders 
ist. Die Signatur kann zwar gultig sein, der damit verbundene fiffentliche 
Schlussel 97 kflnnte aber theoretisch von einem BetrCiger stammen. 

Der Empfanger einer Meldung 90 braucht also die Gewissheit, dass 
der offentiiche Schlussel 97 des Absenders, in dessen Besitz er ist, tatsfichlich 
30 dem richtigen Absender gehfirt. Diese Gewissheit kann er auf verschiedene 
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Weise erlangen. Eine Moglichkeit ist, dass der Absender ihm den offentlichen 
Schlussel 97 irgendwann einmal personlich Obergeben hat. Oder der Empfan- 
ger ruft den Absender an und vergleicht z.B. die ersten 1 0 Stellen des offentli- 
chen Schlussels. Diese Methoden sind jedoch umstandlich und bedingen, dass 
5 sich die BenOtzer entweder schon kennen oder sich vorher getroffen haben. 

Besser ware es, wenn es eine Instanz gabe, welche die Zugehorig- 
keit eines offentlichen Schlussels zu einer gewissen Person garantiert. Diese 
Instanz wird Zertifizierungsinstanz (Certification Authority / CA) genannt und 
burgt dafur, dass ein bestimmter offentlicher Schlussel 97 einer bestimmten 

0 Person gehort. Sie tut dies, indem sie ein sog. Zertifikat 98 des offentlichen 
Schlussels 97 herstellt (Figur 12). Es besteht im Wesentlichen aus dem Offent- 
lichen SchlQssel und dem Namen des Besitzers. Das Ganze wird dann von der 
Zertifizierungsinstanz signiert (Signatur 98). Durch die Zertifizierung bindet die 
CA also einen offentlichen Schlussel 97 an einen bestimmten Absender 

I5 (Kunden, POT oder Server). Fur alle BenOtzer wird so von der CA ein Zertifikat 
des offentlichen Schlussels ausgestellt. Diese Zertifikate sind fur alle Benutzer 
zuganglich. 

Durch die OberprCifung der digitalen Signatur 99 des Zertifikates des 
Absenders sowie der Signatur 92 der Meldung selbst hat der Empfanger den 
20 Beweis, dass die Meldung 90 von demjenigen unterschrieben wurde, fQr den er 
sich ausgibt (Authentifikation). 

Es ist zu beachten, dass die Schlusselzertifikate 98 nicht speziell ge- 
schQtzt werden mussen, da sie unfalschbar sind. Falls der Zertifikatsinhalt 
namlich verandert wurde, merkt dies der Empfanger, da die Signatur 99 nicht 
25 mehr korrekt ist. Und da niemand ausser der CA den privaten Schlussel der CA 
hat, ist es niemandem moglich, die Signatur der CAzu falschen. 

Es gibt verschiedene Moglichkeiten, wie die Schlusselzertifikate 98, 
99 verbreitet werden. Eine Moglichkeit ist, die Zertifikate 98, 99 mit jeder Mel- 
dung mitzuschicken. 
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Mit Hilfe der oben beschriebenen Techniken kSnnen also zwei ein- 
ander unbekannte Kunden, POT und Server gegenseitig Informationen austau- 
schen, und dies auf eine sichere Art und Weise. 

Verteilung des offentlichen Schliissels der Zertifizierungs- 

5 instanz 

Nun bleibt noch ein letztes Problem. Wie im vorhergehenden Kapitel 
beschrieben, uberpruft der Empfanger einer Meldung das Zertifikat des Absen- 
ders. Dazu benotigt er den offentlichen Schlussel der Zertifizierungsinstanz. 
Die CA k<5nnte nun zwar ihren eigenen fiffentlichen Schlussel zertifizieren, dies 

10 macht aber wenig Sinn, da es ja jedem moglich ist, selber ein Schlusselpaar zu 
generieren und selbst ein CA-Zertrfikat (mit dem entsprechenden Namen der 
CA) herzustellen. Fur den Offentlichen Schlussel der CA gibt es also kein 
eigentiiches Zertifikat. Diese Tatsache erlaubt theoretisch einem Kriminellen, 
sich als Zertifizierungsinstanz auszugeben und so falsche Schlusselpaare und 

15 Zertifikate herzustellen und zu verteilen. Darum muss der 6ffentliche Schlussel 
der Zertifizierungsinstanz auf einem sicheren Weg zum BenQtzer gelangen. 
Der Benutzer muss uberzeugt sein, den richtigen Schlussel der CA zu besit- 
zen. 

Eine L6sung, die sich sofort anbietet, ist, den fiffentlichen Schlussel 
20 der Zertifizierungsinstanz in der SIM-Karte des BenQtzers zu speichern. Jener 
kann zwar (im Gegensatz zum privaten Schlussel des Benutzers) gelesen, aber 
nicht Gberschrieben Oder geldscht werden. Dies wird durch die spezielle 
Architektur des Chips 101 erreicht. 

Ubermittlung einer digital slgnlerten Meldung ohne Chiffrierung: 
25 Zusammenfassung 

• Der Absender unterschreibt die Meldung 90 mit seinem privaten, 
auf der Karte 1 0 gespeicherten Schlussel 91 , um dessen Ur- 
sprung zu bestdtigen. 
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• Die Originalrneldung 90 wircl zusammen mit cler Signatur 92 unci 
dem signierten Zertifikat 98, 99 des Absenders an den Empfanger 
gesendet (Pfeil 80). 

• Der EmpfSnger uberpruft die Digitale Signatur 92 des Dokumen- 

5 tes 90 mit Hilfe des im Zertifikat 98 des Absenders mitgeschickten 

offentlichen Schlussels 97 des Absenders. 

• Ausserdem versichert er sich der Echtheit des offentlichen 
Schlussels 97 des Absenders, indem er die Digitale Signatur 99 
des Zertifikats 98 uberpruft. Dazu verwendet er den offentlichen 

10 Schlussel 81 der Zertifizierungsinstanz. 



Chiffrierung der Meldung 

Urn die Vertraulichkeit einer Ubermittlung, d.h. den Schutz vor der 
Einsichtnahme durch Unbefugte, zu gewahrleisten, muss die Meldung ver- 
schldsselt (chiffriert) werden. Dafur gibt es theoretisch zwei Moglichkeiten. Man 
15 konnte die Meldung mit dem offentlichen Schlussel des Empfangers verschlus- 
seln. Da nur der EmpfSnger im Besitz des dazugehfirigen privaten Schlussels 
ist, kann folglich nur er die Meldung entschlusseln. Nun ist es aber so, dass die 
asymmetrischen Chiffrieralgorithmen im Vergleich zu den symmetrischen sehr 
langsam sind. 

20 Darum wird vorzugsweise ein symmetrischer Algorithmus fur die 

Chiffrierung der Meldung benutzt (Figur 13). Der Absender einer Meldung 90 
generiert einen symmetrischen Schldssel 83, mit dessen Hilfe er die Meldung 
90 verschldsselt. Diese symmetrische VerschlOsselung nimmt nur einen 
Bruchteil der Zeit in Anspruch, die bei der Verwendung eines asymmetrischen 

25 Algorithmus benGtigt wiirde. Der Empfanger muss denselben symmetrischen 
Schlussel kennen. Er muss ihm also ubermittelt werden, und zwar verschlus- 
selt, da sonst ein Betruger den SchlQssel 83 bei der Obertragung mitlesen und 
die empfangene Meldung 86 entschlusseln konnte. Darum wird der symmetri- 
sche Schlussel 83, der sogenannte Session Key, mit dem offentlichen Schlus- 

30 sel 84 des EmpfSngers verschldsselt. Der so entstandene verschlusselte Ses- 
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sion Key wird auch Token 85 genannt. Das Token 85 enthait also den fQr die 
ChifTrierung der Meldung 90 benOtzten symmetrischen Schlussel 83, ver- 
schlusselt mit dem Offentlichen (asyrnmetrischen) Schlussel 84 des Empffln- 
gers. Das Token 85 wird zusammen mit der verschlusselten Meldung 86, der 
5 Signatur 92 und dem Zertifikat 98, 99 ubermittelt. 

Der Empfanger entschliisselt das Token 85 mit seinem privaten 
Schlussel. So erhfllt er den fur das Entschlusseln der Meldung benfitigten 
symmetrischen Schlussel 83. Da nur er den privaten Schlussel hat, kann nur er 
die Meldung dechiffrieren. 

io Ubermittlung einer digital signierten Meldung mit ChifTrierung: 

Zusammenfassung 



Absender: 



• Der Absender unterschreibt die Meldung 90 mit seinem privaten 
Schlussel 91. 

• Dann verschlusselt er die Meldung 90 mit einem von ihm gene- 
rierten symmetrischen Schlussel 83. 

• Diesen symmetrischen Schlussel verschlusselt er dann mit dem 
Sffentlichen Schlussel 84 des Empfangers. Daraus entsteht das 
Token 85. 



20 • Die Originalmeldung 90 wird dann, zusammen mit dem der 

Signatur 92, dem Token 85 und dem signierten Zertifikat 98, 99, 
an den Empfanger gesendet 

Empfanger: 

• Der Empfanger entschlilsselt zuerst das Token 85 mit seinem pri- 
25 vaten SchlQssel. 
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• Mit dem daraus gewonnenen symmetrischen SchlQssel 83 ent- 
schlusselt er die Meldung 90. 

• Nun uberpruft er die Digitale Signatur 92 der Meldung 90 mit Hilfe 
des im Zertifikat 98 des Absenders enthaltenen offentlichen 

5 Schliissels 97. ^ 

• Ausserdem versichert er sich der Echtheit des offentlichen 
Schliissels 97 des Absenders, indem er die Digitale Signatur 99 
des Zertifkats 98 durch die Zertifizierungsinstanz uberpruft. Dazu 
verwendet er den offentlichen Schlussel 81 der Zertifizierungsin- 

10 stanz. 

Revocation List / UngUltigkeitserklMrung von Zertifikaten 

Nehmen wir an, einem Kunden wird seine SIM-Karte, welche seinen 
privaten Schlussel 91 enthSIt, gestohlen. Der Einbrecher kann nun diesen pri- 
vaten Schlussel einsetzen und sich fur den Bestohlenen ausgeben, ohne dass 

15 dies der Empfanger merkt. Darum braucht es einen Mechanismus, um alien 
Benutzern mitzuteilen, dass das zum gestohlenen privaten Schlussel 91 gehd- 
rige Zertifikat nicht mehr gultig ist Dies geschieht mittels einer sogenannten 
Liste von ungultigen Zertifikaten, einer oben erwahnten Certificate Revocation 
List (CRL). Sie wird von der CA digital signiert und veroffentlicht, d.h., sie wird 

20 alien POT und Servern zuganglich gemacht. Jeder EmpfSnger einer Meldung 
von einem Kunden muss nun also zusfitzlich zu der Uberprufung der Signatur 
und des Zertifikats des Absenders kontrollieren, ob letzteres sich nicht in der 
Revokation List befindet, d.h., ob es nicht ungultig ist. 

Damit die Revokation List nicht zu gross wird, werden statt des gan- 
25 zen Zertifikats nur die Seriennummer sowie das Datum, an dem das Zertifikat 
fur ungultig erklart wurde, eingefugt. Die Liste besteht also aus Seriennummern 
und UngultigkeitserklSrungsdaten, welche am Schluss von der CA digital 
signiert werden. Vorhanden sind ebenfalls das Veroffentlichungsdatum der 
Liste und der Name der CA. 
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Das Trust Center und Trusted-Thlrd-Party-Dienste 

Wie wir oben gesehen haben, braucht es in einem offenen und ver- 
teilten System von vielen Benutzern, in dem zwei Benutzer, die uber kein ge- 
meinsames VertrauensverhSltnis verfugen, sicher miteinander kommunizieren 

5 wollen, eine dritte Stelle, die diesen Benutzern gewisse Sicherheitsdienste zur 
Verfugung stellt, da nSmlich sonst fur die BenQtzer der Aufwand zu gross wird, 
selber die notwendigen SchlQssel auszutauschen und zu verwalten. Diese 
Stelle wird Trust Center oder Trusted-Third-Party (TTP) genannt und die Dien- 
ste ( die sie anbietet, werden als TTP-Dienste bezeichnet. Die CA ist z.B. ein 

10 solcher Dienst. Die TTP Qbernimmt die Schlusselverwaltungsaufgaben fur die 
Benutzer und geniesst darum deren Vertrauen. TTP-Dienste dienen also zur 
Sicherung von diversen Applikationen und Protokollen. 

Die Bestandteile einer Trusted-Third-Party sind: 

• Registrierungsinstanz (RA): Er identifiziert die Benutzer, nimmt 
15 ihre Daten auf und leitet sie an die Zertifizierungsinstanz weiter. 

Die Identifikation der Benutzer ist notig, da ja die CA dafur garan- 
tiert, dass ein bestimmter 6ffentlicher SchlQssel einer bestimmten 
Person gehOrt. Dafur muss sich diese Person aber zuerst identifi- 
zieren. 

20 • Zertifizierungsinstanz (CA): Sie stellt die Schlusselzertifikate und 

Revocation Lists her. Diese werden anschliessend zur Ver6ffentli- 
chung in ein Verzeichnis abgelegt oder direkt dem Benutzer zu- 
gesandt. 

• Schlusselgenerierungsdienst: Er generiert die SchlQssel fQr die 
25 Benutzer. Der private SchlQssel wird auf einem sicheren Kanal 

dem Benutzer ubergeben, der offentliche SchlQssel wird an die 
CA gesandt zwecks Zertifizierung. 
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• Schlusselpersonalisierungsdienst: Er legt die privaten SchlQssel 
in einem Modul (z.B. einer Chipkarte) ab, um sie vor unbefugtem 
Zugriff zu schCitzen. 



• SchlCisseihinterlegungsdienst (Key Escrow); Er speichert eine 
5 Kopie der verwendeten SchlQssel (zwecks Ruckerstattung im 

Falle eines Verlusts oder zwecks „Abh6ren" der Potizei aus 
Staatsschutz- Oder VerbrechensbekSmpfungsgrunden). 

• Archivierungsdienst: Er archiviert die SchlQsselzertifikate (zwecks 
langfristiger Garantie der Oberprufbarkeit von digitalen Signatu- 

10 ren). 

• Verzeichnisdienst: Er stellt den BenCitzern Schlusselzertifikate 
und Revocation Lists zur VerfCigung. 



• Notariatsdienste fur 

1 , Sende- und Empfangsbeweis 
15 2. Zeitstempel 

3. Beglaubigung der inhaltiichen Korrektheit (analog zu 
bestehenden Notariatsdiensten 



In den oben geschilderten AblSufen steht haufig geschrieben n Der 
Empfanger uberpruft die Signatur" oder „Der Absender verschlusselt die Mel- 
20 dung". Naturlich muss der BenQtzer all diese Funktionen im Normalfall nicht 
explizit selber ausfuhren, sondern das Mobilsystem 1,10 bzw. der Finanzser- 
ver 4 macht das fur ihn automatisch. 
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Ansprtiche 

1. Transaktionsverfahren zwischen einem Kunden und einem fixen 
Point-of-Transaktions-Gerat (POT-Gerat) (2), wobei das Verfahren die Ober- 

5 mittlung von mindestens einer Kundenidentifizierung, einer POT-Geratidentifi- 
zierung (POSID) und transaktionsspezifischen Daten (A) an einen durch ein 
Telekommunikationsnetz (5) mit dem benannten POT-Gerat (2) verbundenen 
Server (4) umfasst, 

dadurch gekennzeichnet, dass die POT-Geratidentifizierung 
10 (POSID) im POT-Gerat (2) gelesen Oder erfasst wird und durch das genannte 
Telekommunikationsnetz (5) an den Server (4) ubermittelt wird, 

dass der Kunde mit einem tragbaren Identifizierungselement (10) 
ausgerustet ist, das mindestens einen Prozessor (100, 101) enthalt und funk- 
tioneli mit einem Mobilgerat (1 ; 24) kooperieren kann, urn Kurzmeldungen 
15 durch ein Mobilfunknetz (6) zu senden und/oder zu empfangen, 

und dass die Kundenidentifizierung (IDUI) im Speicher des identrfi- 
zierungselementes (10) gespeichert ist und tiber mindestens eine kontaktlose 
Schnittstelle (101-20 ; 6) an den Server (4) ubermittelt wird. 

2. Transaktionsverfahren gemass Anspruch 1 , dadurch gekenn- 

20 zeichnet, dass die Kundenidentifizierung (IDUI) und/oder die POT-Geratidenti- 
fizierung (POSID) Qber eine kontaktlose Schnittstelle (101-20) zuerst zwischen 
dem Identifizierungselement (1, 10) und dem POT-Gerat (2) ubermittelt und 
dann zusammen mit transaktionsspezifischen Daten (A) in einem elektroni- 
schen Transaktionsbeleg verknupft werden, der durch das genannte Telekom- 

25 munikationsnetz (5) an den benannten Server (4) ubermittelt wird. 

3. Transaktionsverfahren gemass dem vorhergehenden Anspruch, 
dadurch gekennzeichnet, dass das Identifizierungselement (10) eine SIM-Karte 
ist. 
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4. Transaktionsverfahren gemass dem Anspruch 2, dadurch gekenn- 
zeichnet, dass das Identifizierungselement ein Transponder (10') ist, 

und dass das Mobilgerat (24) im POT-Gerat (2) enthalten ist. 

5. Transaktionsverfahren gemass dem vorhergehenden Anspruch, 
5 dadurch gekennzeichnet, dass die Kundenidentifizierung (IDUI) im Transpon- 
der (10') gelesen wird, durch die benannte kontaktlose Schnittstelle (101-20) 
an das POT-Gerat (2") ubertragen wird, und im POT-Gerat mit einer POT-Ge- 
ratidentifizierung (POSID) und mit den benannten transaktionspezifischen Da- 
ten (A) in dem an den benannten Server (4) ubermittelten Transaktionsbeleg 

10 verknupft wird. 

6. Transaktionsverfahren gemass einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, dass das Identifizierungselement (10, 10") 
uber eine integrierte Spule mit dem POT-Gerat (2) kommuniziert. 

7. Transaktionsverfahren gemass Anspruch 3, dadurch gekenn- 

15 zeichnet, dass die SIM-Karte (1 0) mit Hilfe einer im Mobilgerat (1 ) integrierten 
Spule mit dem POT-Gerat (2) kommuniziert. 

8. Transaktionsverfahren gemass Anspruch 3, dadurch gekenn- 
zeichnet, dass die SIM-Karte (10) mit Hilfe eines im Mobilgerat (1) integrierten 
infraroten Sender-Empfanger mit dem POT-Gerat (2) kommuniziert. 

20 9. Transaktionsverfahren gemass einem der vorhergehenden An- 

spruche, dadurch gekennzeichnet, dass mindestens gewisse Daten, die uber 
die benannte kontaktlose Schnittstelle (101-20) zwischen dem POT-Gerat (2) 
und dem Identifizierungselement (10, 10') ubertragen werden, verschlusselt 
werden. 

25 1 0. Transaktionsverfahren gemass einem der vorhergehenden An- 

spruche, dadurch gekennzeichnet, dass die durch das benannte Telekommuni- 
kationsnetz (5) ubertragenen Transaktionsbelege verschlusselt werden. 
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1 1 . Transaktionsverfahren gemSss dem vorhergehenden Anspruch, 
dadurch gekennzeichnet, dass die durch das benannte Telekommunikations- 
netz (5) ubertragenen Transaktionsbelege wShrend der Gbertragung nicht ent- 
schlusselt werden. 

5 12. Transaktionsverfahren gernass dem vorhergehenden Anspruch, 

dadurch gekennzeichnet, dass die Transaktionsbelege (90) mit einem symme- 
trischen Algorithmus verschlusselt werden, wobei der symmetrische Algo- 
rithmus einen mit einem asymmetrischen Algorithmus verschlusselten Session 
Key (83) benutzt. 

10 13. Transaktionsverfahren gernass einem der vorhergehenden An- 

spruche, dadurch gekennzeichnet, dass die durch das benannte Telekommuni- 
kationsnetz (5) ubertragenen Transaktionsbelege zertifiziert werden. 

14. Transaktionsverfahren gernass einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, dass die durch das benannte Telekommuni- 

15 kationsnetz (5) ubertragenen Transaktionsbelege eine vom Server nachprQf- 
bare elektronische Signatur des Identifizierungselements (10) enthalten. 

15. Transaktionsverfahren gernass einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, dass die durch das benannte Telekommuni- 
kationsnetz (5) ubertragenen Transaktionsbelege eine vom Server nachpruf- 

20 bare elektronische Signatur des POT-Gerats (10) enthalten. 

16. Transaktionsverfahren gernass einem der Anspruche 10 bis 15, 
gekennzeichnet durch foigende Schritte : 

Herstellung des Hashwertes (93) von den Transaktionsbelegen (90), 

Chiffrierung dieses Hashwerts (93) mit einem auf dem Identifizie- 
25 rungselement (10) gespeicherten privaten Schlussel (91 ), 

Signierung der Transaktionsbelege (90) mit dem chiffrierten 
Hashwert (92). 
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17. Transaktionsverfahren gemass einem der Anspruche 2 bis 16, 
dadurch gekennzeichnet, dass die Transaktionsbelege tiber eine Clearingein- 
heit (3) an den Server (4) ubermittelt werden. 

18. Transaktionsverfahren gemass dem vorhergehenden Anspruch, 
5 dadurch gekennzeichnet, dass die Datenelemente (IDUI), die fur das Clearing 

in der benannten Clearingeinheit (3) benfitigt werden, nicht verschlusselt wer- 
den, so dass die Clearingeinheit die Transaktionsbelege nicht entschlusseln 
muss. 

1 9. Transaktionsverfahren gemass einem der vorhergehenden An- 
10 spruche, dadurch gekennzeichnet, dass die transaktionsspezifischen Daten (A) 

im POT-Gerat (2) gelesen oder erfasst werden. 

20. Transaktionsverfahren gemass einem der vorhergehenden An- 
sprQche, dadurch gekennzeichnet, die transaktionsspezifischen Daten (A) im 
Mobilgerat (1) gelesen oder erfasst werden. 

1 5 21 . Transaktionsverfahren gemass einem der vorhergehenden An- 

spruche, dadurch gekennzeichnet, dass der Server (4) eine Kundenschwarzli- 
ste speichert, und dass das Verfahren unterbrochen wird, wenn die empfan- 
gene Kundenidentifizierung (IDUI) in der Kundenschwarzliste enthalten ist. 

22. Transaktionsverfahren gemass einem der vorhergehenden An- 
20 spriiche, dadurch gekennzeichnet, dass der Server (4) eine POT-Schwarziiste 

speichert, und dass das Verfahren unterbrochen wird, wenn die empfangene 
POT-GerStidentifizierung (POSID) in der Kundenschwarzliste enthalten ist. 

23. Transaktionsverfahren gemass einem der vorhergehenden An- 
spruche, dadurch gekennzeichnet, dass das POT-Gerat (2) eine vom Server 

25 (4) aktualisierte Kundenschwarzliste speichert, und dass das Verfahren unter- 
brochen wird, wenn die Kundenidentifizierung (IDUI) in der Kundenschwarzliste 
enthalten ist. 
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24. Transaktionsverfahren gemSss einem der AnsprQche 21 bis 23, 
dadurch gekennzeichnet, dass das Identifizierungselement mindestens teil- 
weise gesperrt wird, wenn die Kundenidentifizierung in einer Kundenschwarz- 
liste im POT-Gerat und/oder irn Server (4) enthalten ist. 

5 25. Transaktionsverfahren gemfiss einem der vorhergehenden An- 

spriiche, dadurch gekennzeichnet, dass das Identifizierungselement (10) ein 
Stack mit Daten uber bereits durchgefuhrte Transaktionen enthalt, 

und dass diese Daten vom Server (4) abgerufen werden kOnnen. 

26. Transaktionsverfahren gemflss einem der vorhergehenden An- 
10 spruche, dadurch gekennzeichnet, dass die transaktionspezifischen Daten ei- 

nen Geldbetrag (A) enthalten, dass der Server (4) von einem Finanzinstitut 
verwaltet wird, und dass ein auf dem Identifizierungselement (10) gespeicherter 
Geldbetrag wahrend der Transaktion abgebucht wird. 

27. Transaktionsverfahren gem&ss dem vorhergehenden Anspruch, 
15 dadurch gekennzeichnet, dass der auf dem Identifizierungselement (10) ge- 

speicherte Geldbetrag (A) uber das genannte Mobilfunknetz (6) mit Nachlade- 
belegen aus dem Server (4) nachgeladen werden kann. 

28. Transaktionsverfahren gemSss Anspruch 26, dadurch gekenn- 
zeichnet, dass der Geldbetrag (A) in einer Standardwahrung angegeben wird. 

20 29. Transaktionsverfahren gemass einem der vorhergehenden An- 

sprQche, dadurch gekennzeichnet, dass die transaktionsspezifischen Daten 
aus dem POT-Gerat (2) an den Server (4) uber eine andere kontaktlose 
Schnittstelle ubermittelt werden, als die transaktionsspezifischen Daten aus 
dem Mobilsystem (10). 

25 30. Transaktionsverfahren gemass einem der Anspruche 4 bis 29, 

dadurch gekennzeichnet, dass mindestens gewisse Daten aus dem Server (4) 
durch ein Mobilfunknetz (6) an das Mobilgeratteil (24) des POT-GerStes (2") 
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ubertragen werden und von diesem in den Transponder (10") weitergeleitet 
werden. 

31 . Mobilsystem (1,10; 1 0'), das fQr das Transaktionsverfahren ge- 
mass einem der vorhergehenden AnsprDche in Anwendung gebracht werden 
5 kann, enthaltend : 

- mindestens einen Prozessor (100, 101) mit einem Speicherbereich, 
in welchem eine Kundenidentifizierung (IDUI) gespeichert ist r 

- elektronische Empfangsmittel, urn Qber ein Mobilfunknetz (6) uber- 
tragene spezielle Kurzmeldungen zu empfangen, 

no - elektronische Signierungsmittel, um Transaktionsbelege, die min- 

destens die Kundenidentifizierung (IDUI) enthalten, mit einer elektronischen 
Signatur zu versehen, 

- eine kontaktlose Schnittstelle (101), um die signierten Trans- 
aktionsbelege an ein POT-Gerat (2) weiterzuleiten. 

15 32. Mobilsystem gemass dem vorhergehenden Anspruch, dadurch 

gekennzeichnet, dass die genannten Signierungsmittel folgende Elemente 
umfassen : 

- ein in dem genannten Speicher gespeicherter privater Schlussel 

(91), 

20 - Mittel, um aus einem unverschlusselten Transaktionsbeleg (90) ei- 

nen Hashwert (93) herzustellen, 

- Mittel, um den Hashwert (93) mit dem genannten privaten SchlCis- 
sel (91) zu chHfrieren und um den Transaktionsbeleg mit dem chiffrierten 
Hashwert (92) zu signieren, 
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33. Mobilsystem gemass einem der AnsprCiche 31 oder 32, dadurch 
gekennzeichnet, dass die elektronischen Empfangsmittel ein MobilgerSt (1) 
und eine SIM-Karte (1 0) umfassen. 

34. Mobilsystem gemass dem vorhergehenden Anspruch, dadurch 
5 gekennzeichnet, dass die kontaktlose Schnittstelle einen infraroten und/oder 

induktiven Sender-EmpfSnger im MobilgerSt (1) umfasst. 

35. Mobilsystem gemass einem der Anspruche 31 oder 32, dadurch 
gekennzeichnet, dass es aus einem Transponder (1CT) besteht, und dass die 
kontaktlose Schnittstelle einen induktiven Sender-Empfanger umfasst. 

10 36. Mobilsystem gemass einem der Anspruche 33 bis 35, dadurch 

gekennzeichnet, dass die SIM-Karte (10) eine Wertkarte ist. 

37. Clearingseinheit (3), dadurch gekennzeichnet, dass es Trans- 
aktionsbelege von einer Region empfangt, in Abhangigkeit von einer enthalte- 
nen Kundenidentifizierung (IDUI) nach dem entsprechenden Finanzinstitut (4) 
15 zuordnet und diesem Finanzinstitut weiterleitet 
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